none
שימוש במוצר מייקרוסופט להתמודדות עם חלוקת Ip למחשב זר שחובר פיזית לרשת הארגון RRS feed

  • שאלה

  • שלום רב,

    ברצוני לדעת, האם קיים מוצר כלשהו תחת windows server או בכלל, אשר ימנע ממחשב זר שחובר באופן פיזי לרשת הLAN בארגון מלקבל כתובת ip משרת הDHCP בארגון.

    והאם לעובדה שהמחשב הזר אינו חבר בדומיין הארגון יש משמעות?

    זאת כחלק מהתגוננות מפני MITM בקורס mcsa.

    מעבר להתגוננות ע"י port security בשימוש במוצריי סיסקו.



    • נערך על-ידי orelymr יום שלישי 02 ספטמבר 2014 12:31
    יום שלישי 02 ספטמבר 2014 11:46

תשובות

כל התגובות

  • מצ"ב תשובה לשאלה זהה שנשאלה בפורום:

    http://social.technet.microsoft.com/Forums/windowsserver/en-US/7dcf3e8d-f972-4c6e-9f56-19cbfe07059b/how-to-force-dhcp-server-to-assign-address-to-domainjoined-computers-only?forum=winserverNIS


    Please take a moment to Vote as Helpful and/or Mark as Answer where applicable. Thanks.

    • הוצע כתשובה על-ידי Eran Sharvit יום שלישי 02 ספטמבר 2014 14:34
    • סומן כתשובה על-ידי Eran Sharvit יום ראשון 07 ספטמבר 2014 11:08
    יום שלישי 02 ספטמבר 2014 11:59
  • תודה רבה.
    יום שלישי 02 ספטמבר 2014 12:32
  • עפ"י התשובה ברישור שצורף, ההתמודדות אינה במניעת חלוקה הIP למחשב הזר (כי חלוקת הIP בלתי נמנעת ), אלא ברמת שרת הרדיוס NAP ושאר השירותים שיוכלו להגביל את הגישה למחשב הזר.

    שאלתי היא, באילו הגבלות מדובר? והאם ניתן למנוע מהמחשב הזר לבצע MITM  למשל בארגון, על אף שכבר קיבל כתובת IP מהDHCP  וכעת הוא חלק מן הLAN.

    תודה.

    יום שלישי 02 ספטמבר 2014 12:45
  • שלום רב,

    אתם יכולים להפעיל IPSEC ברמת מערכת ההפעלה, וזאת ע"י ביצוע אימות בין מחשבים ע"י תעודות דיגיטליות. בדרך זו, גם אם תוקף יחדור לרשת, פרקטית הוא לא יוכל להפיק מידי של ממש.

    מעבר לכך, תוכל להפעיל אופציה ל 802.1X ויכולות NAC נוספות בהתאם לציוד אבטחת המידע והתקשורת בארגון.


    Best Regards, Yuval Sinay LinkedIn: https://www.linkedin.com/in/yuval14, Blog: http://blogs.microsoft.co.il/blogs/yuval14

    • סומן כתשובה על-ידי Eran Sharvit יום ראשון 07 ספטמבר 2014 11:08
    יום שלישי 02 ספטמבר 2014 20:31
  • ראשית, תודה רבה יובל.

    שנית, האם נכון לומר כי בשימוש בIPSEC אמנם הזר יוכל להאזין לפאקטים ולאסוף אותם, אך השימוש בהם חסר ערך כי הם מוצפנים?

    לכן עדיין יוכל הזר בMITM לפגוע בתעבורת הרשת למשל אל הisp או אל מחשב מסויים - וכאן הIPSEC אינו יעיל להבנתי, כיצד אתמודד עם זאת?

    האם בשימוש בNAC מסוג 802.1x אוכל למנוע בכלל את ההאזנה עצמה לרשת?



    orelymr


    • נערך על-ידי orelymr יום רביעי 03 ספטמבר 2014 09:02
    יום רביעי 03 ספטמבר 2014 08:45
  • שלום רב,

    ככלל, אם יש למישהו נגישות לציוד התקשורת תצטרך לצאת בהנחת המוצא כי תוך X זמן ומשאבים הוא יוכל להאזין לרשת.

    בנושא IPSEC - יש שלושה מודים שאתם יכולים לעבוד: AH, ESP ושניהם ביחד. אני ממליץ בד"כ על הפעלת שניהם, אבל יש להיערך מבחינת I\O ודרישות זיכרון בשרתים. ובקשר ל"השימוש חסר ערך" - ובכן, אם נדבר על האח הגדול מארה"ב, סביר להניח שהוא יוכל לפענח את ההצפנה, אבל תוקף ממוצע יחפש דרך תקיפה נוחה יותר.

    802.1X מהווה תקן פשוט, והוא אמור למנוע אקטיבציה של פורט תקשורת ללא זיהוי של המחשב ע"פ סט של חוקים \ העברת המחשב הלא מזוהה ל VLAN מנותק מרשת היצור לדוגמא. מוצרי NAC מציעים סט חוקים מתקדם יותר, וכן ניהול מרכזי.

    עם זאת, כל המוצרים וההגנות מחייבים השקעת תקורות, וצריך להבין מהם האיומים על הארגון, דרכי חדירה אפשרויות, וכו' - אחרת תשקיעו מאמץ רב ותוקף יוכל לעקוף את ההגנות בקלות.


    Best Regards, Yuval Sinay LinkedIn: https://www.linkedin.com/in/yuval14, Blog: http://blogs.microsoft.co.il/blogs/yuval14

    יום ראשון 07 ספטמבר 2014 21:19