locked
Configurações para um laptop particular ingressado no dominio. RRS feed

  • Pergunta

  • Galera, boa tarde.

    Pela diminuição de preço dos laptops, alguns usuarios de minha empresa estao adquirindo essas maquinas e agora estou começando a ter dor de cabeça por um motivo obvio: Segurança.

    Estes usuarios, como sao donos dos aparelhos, querem ter acesso administrativo, para poderem instalar qualquer coisa enquanto estao fora do ambiente da empresa. Meu medo é que nestas horas, ou ate mesmo dentro da empresa, estes usuarios instalem programas com malwares, virus, trojans, etc. e depois venham logar em minha rede me presenteando com algumas destas porcarias.

    Gostaria de saber como voces, principalmente de empresas grandes, fazem para lidar com este tipo de situação. laptops particulares trabalhando na rede empresarial.

    Grande abraço!

    terça-feira, 30 de dezembro de 2008 19:11

Respostas

  • Simples, a placa 1 ficaria com os endereços da sua rede atual ex: 10.0.0.1, já a placa 2 por onde estariam conectados os laptops ficaria com 192.168.1.1, mas essa parte do ip é a de menos, nesse caso as 2 placas não possuem nat, ou seja, não fazem roteamento entre si, trabalham como end point, dessa forma só conseguem conexão aos recursos quando conectados a esse servidor ts, dai em diante é só vc seguimentar a rede de forma os notes só se conectem por essa placa, simplificando é uma vlan de pobre rs...

    terça-feira, 6 de janeiro de 2009 16:10
  •  Paulo Alex RT wrote:

     Carlos Borges wrote:
    Bom dia, Alex!

    Cara... tenho cliente com essa mesma situação, usuários são donos de seus próprios notebooks.

    Infelizmente eles precisam acessar o domínio, uma vez que os mesmos representam cerca de 70% dos computadores cliente na rede. Cliente não quer pagar Cisco Catalyst para VLAN, rsrs, fica meio difícil. Além de que, até respondendo tua pergunta, cada fabricante tem seu próprio firmware de configuração (e o IOS da Cisco não é tão simples!).

    O que eu faço?
    Me muno de segurança em antivírus, tanto no servidor, quanto nos notebooks, tanto que a cada notebook ingressado ponho um antivírus padrão da rede. Todas as máquinas devem, por padrão (e isso é uma política que adotei) ter instalado esse mesmo antivírus, sempre atualizado. Sem falar que tais usuários, não localmente, mas pelo menos no domínio, serem padrão e restritos, vc já diminui em 50% a incidência de vírus.

    Infelizmente a portabilidade às vezes vai contra a segurança. Quando se prende muito à segurança se perde mobilidade.
    Logo, como um bom administrador, vc deve minimizar os efeitos da falta de segurança.

    Abraço!

     

    Carlos,

    Pelo visto pensamos alinhados.

    Ainda bem, rapaz, que minha rede é pequena (25 clientes) e só 3 tem laps particulares.Se fosse mais eu acho que ja teria perdido 90% do cabelo remanescente da minha cabeça. Aqui tb uso um antivirus que eu párticularmente acho muito interessante, que é o Symantec EndPoint Protection, que protege contra virus, spyware e ainda tem um firewall pessoal. E tudo isso administrado por um servidor do proprio antivirus que fina no meu servidor central. As atualizações do antivirus sao baixados pelo servidor e distribuidos rapidamente para todas as maquinas cliente. Muito interessante.

    Aqui todos os usuarios sao padrao também, e tambem por medida de segurança adotada por mim, os donos dos laptops têm que, no momento que estiver trabalhando na empresa, utilizar um usuario sem direitos administrativos no proprio laptop.

    Mesmo assim me sinto inseguro do que estes usuarios podem fazer em casa. Por exemplo tem um que toda hora empresta o laptop pro filho que instala jogos etc, Sabe-se lá o que mais, ainda bem que existe o Symantec la sempre ativo e sem opção para desativar.

     

    Agora me diz, o que o Cisco Catalyst para VLan nos oferece de bom quando temos este problema? Eu acho que nao entendi direito esse lance de Vlan e por que ela nos ajudaria.

     

    Abraços rpz!!

     



    De fato, Paulo. Nossa situação é bastante parecida. rsrs.
    Nesse meu cliente, os 'filhotes' dos usuários tb usam os notebooks. Isso de fato é uma dor de cabeça. Daí é o momento de vc utilizar algo mais 'ofocial', o que inclusive já desenvolvo e utilizo nos meus clientes: políticas de segurança acesso à rede e aos recursos. O que o usuário pode ou não fazer. Desenvolva, em nome da empresa, uma série de diretivas de segurança e crie termos de responsabilidade para os usuários, os quais devem ser conhecedores de norma por norma. Neste caso, você estará usando uma das premissas da segurança que é a transferência da responsabilidade, quando vc não puder ter um controle total sobre ela.

    Assim, responsabilizando o usuário pelo o que ele faz ou não na rede, você o inibe. Ele certamente pensará duas vezes antes de emprestar seu notebook ao filho. Mesmo o equipamento sendo dele, você precisa conscientizá-lo de que qualquer - com o perdão da palavra - 'merda' que ele fizer em casa com seu notebook, pode refletir de forma negativa na rede. Educar o usuário ainda é a melhor solução.

    Com relação à VLAN, trata-se duma solução um pouco mais complexa, numa camada mais inferior, definida pelo protocolo IEEE 802.1q. Em outras palavras, é como se você dividisse logicamente sua rede. É configurado no seu swicth, se este suportar tal tecnologia.

    Para pacotes duma VLAN chegar à outra VLAN, seria necessário um roteador ou um switch nível 3, que já faça esse encaminhamento.

    Resumindo, de fato, para fins de segurança, é uma solução interessante e eficaz. Entretanto, um tanto mais complexa.

    Abraço!
    terça-feira, 6 de janeiro de 2009 16:23
  •  Robson dos Santos wrote:

    Simples, a placa 1 ficaria com os endereços da sua rede atual ex: 10.0.0.1, já a placa 2 por onde estariam conectados os laptops ficaria com 192.168.1.1, mas essa parte do ip é a de menos, nesse caso as 2 placas não possuem nat, ou seja, não fazem roteamento entre si, trabalham como end point, dessa forma só conseguem conexão aos recursos quando conectados a esse servidor ts, dai em diante é só vc seguimentar a rede de forma os notes só se conectem por essa placa, simplificando é uma vlan de pobre rs...

     

    AH Tá!

    Boa rpz... Legal, Aí só a parte da rede 10.0.0.x terá acesso as pastas, enquanto a 192 só terá acesso ao TS.

     

    Traduzindo em grafico, :    |Compartilhamento|  <-----------> |Servidor TS| <---------------> |Rede nao confiavel|

                                                                             10.0.0.x            |          192.168.1.x

     

    Beleza!

    Pode ser considerado uma resposta ao problema!

    O contra desta solução é a infra-estrutura né. Tenho que pendurar uns cabos de rede por ai, comprar uns AC WiFi... hehehe.

     

    Muito bom raciocinio!

    Vamos esperar para ver se alguem tem mais alguma soluçao para apresentar.

    Abraços!

     

    terça-feira, 6 de janeiro de 2009 16:24

Todas as Respostas

  • Paulo,

     

    Existem duas coisas ao meu ver.

     

    - Vc proibir o uso de maquinas particulares no ambiente de trabalho, ao menos que sejam diretores, etc, nesse caso fica complicado..rs

     

    - Vc pode fazer com que o usuário no seu dominio utilize o logon no AD normalmente com perfil de usuário. E para uso particular eles loguem diretamente na maquina com perfil administrativo, mas até ai se o trojan estiver instalado vai lascar de qualquer maneira.

     

     

    O ideal mesmo é que exista um anti virus instalado nas maquinas que seja eficaz, que as maquinas estajam atualizadas, e se vc puder evita-las na rede melhor ainda.

     

    é isso, espero ter ajuado.

     

    Se util nao esqueça de classificar.

     

    abraços

    quarta-feira, 31 de dezembro de 2008 01:44
  • Fala Paulo

    Pq vc  nao cria uma vlan separada e coloca estes  usuários,
    Fiz da seguinte maneira, criei uma vlan só para usuarios de notebook, eles não logam no dominio, mas precisam mapear suas pastas, e instalei um bom anti-virús  com um agente instalado, que defino as configurações e regras para estes clientes,
    Os notebooks estão com o  Windows Vista home Premium ou seja não ingressa no dominio,
    Qnd apareçe algum usuário com notebook e  tenta colocar a maquina no dominio, não tem permissão, que por sinal  um  usuario comum consegue  adcionar ate 10 maquinas no dominio,mas  desabilitei esta opção na GPo "Domain Policy",
    No firewall liberei apenas determinados ip´s, e amarrei os ip´s aos mac no dhcp server.Caso o usuário tente colocar um ip estatico ele não vai conseguir navegar.

    Precisa melhorar muito ainda, mas fevereiro vejo isso.




    quinta-feira, 1 de janeiro de 2009 20:45
  • Olá Paulo,

     

    Da uma olhada neste Webcast do Windows 2008:

     

    https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=pt-BR&EventID=1032383303&CountryCode=BR

     

    Ele apresenta um recurso chamado NAP - Network Access Protection.

     

    Nestes cenários realmente é muito dificil bloquear todo tipo de "brecha", porém temos como limitar bastante. Você pode por exemplo, bloquear o acesso a sua rede de máquinas que estejam sem antivirus, com o firewall desabilitado, sem algum tipo de patch do WSUS, etc, assim a máquina é direcionada para uma rede de remediação, onde só entra na rede mesmo, quando atender a todos os seus requisitos (disponiveis é claro).

     

    Mas baixe este Webcast e assista, vale a pena.

     

    Abraços e bom 2009.

     

     

     

    sexta-feira, 2 de janeiro de 2009 11:34
  • Olá pessoal, gostei da idéia da VLan,

    alguém sabe algum tutorial bom que ensine a criar uma vlan?

    Att
    Feliz 2009
    sábado, 3 de janeiro de 2009 23:38
  • Bom Dia

     

    Aonde trabalho a Politica de Segurança diz que não podemos conectar qualquer dispositivo pessoal na rede da empresa, ou sejá o usuario pode até levar o notebook, mas não poderá utilizar a rede.

     

    Abraço

    segunda-feira, 5 de janeiro de 2009 10:48
  • Olá Alex;

    Para configuração de VLAN, é necessário consultar a documentação do seu Switch e ver se ele aceita VLAN.

    Abs
    segunda-feira, 5 de janeiro de 2009 11:22
  • Breno, existe uma configuração padrão ou cada Switch tem sua própria configuração?

    Eu estava vendo um Cisco Catalyst, sei que ele aceita, mas não sei como configurar.
    segunda-feira, 5 de janeiro de 2009 23:27
  • Bom dia, Alex!

    Cara... tenho cliente com essa mesma situação, usuários são donos de seus próprios notebooks.

    Infelizmente eles precisam acessar o domínio, uma vez que os mesmos representam cerca de 70% dos computadores cliente na rede. Cliente não quer pagar Cisco Catalyst para VLAN, rsrs, fica meio difícil. Além de que, até respondendo tua pergunta, cada fabricante tem seu próprio firmware de configuração (e o IOS da Cisco não é tão simples!).

    O que eu faço?
    Me muno de segurança em antivírus, tanto no servidor, quanto nos notebooks, tanto que a cada notebook ingressado ponho um antivírus padrão da rede. Todas as máquinas devem, por padrão (e isso é uma política que adotei) ter instalado esse mesmo antivírus, sempre atualizado. Sem falar que tais usuários, não localmente, mas pelo menos no domínio, serem padrão e restritos, vc já diminui em 50% a incidência de vírus.

    Infelizmente a portabilidade às vezes vai contra a segurança. Quando se prende muito à segurança se perde mobilidade.
    Logo, como um bom administrador, vc deve minimizar os efeitos da falta de segurança.

    Abraço!
    terça-feira, 6 de janeiro de 2009 13:01
  • Ôpa! Mas, lembrando, se o bolso do teu patrão ou cliente permitir, vá em frente, meu filho!
    Mete um Cisco Catalyst, pega tutoriais ou manual, e implementa VLAN que aí é coisa linda! hehehe

    ;D

    Abraço!
    terça-feira, 6 de janeiro de 2009 13:04
  •  Luiz Fernando Dias - MVP wrote:

    Paulo,

     

    Existem duas coisas ao meu ver.

     

    - Vc proibir o uso de maquinas particulares no ambiente de trabalho, ao menos que sejam diretores, etc, nesse caso fica complicado..rs

     

    - Vc pode fazer com que o usuário no seu dominio utilize o logon no AD normalmente com perfil de usuário. E para uso particular eles loguem diretamente na maquina com perfil administrativo, mas até ai se o trojan estiver instalado vai lascar de qualquer maneira.

     

     

    O ideal mesmo é que exista um anti virus instalado nas maquinas que seja eficaz, que as maquinas estajam atualizadas, e se vc puder evita-las na rede melhor ainda.

     

    é isso, espero ter ajuado.

     

    Se util nao esqueça de classificar.

     

    abraços

     

    Oi Luiz,

    Desculpem-me todos pela demora na resposta.

    Luiz, eu estava mesmo querendo é isolar estes aparelhos. Ainda nao li todas as respostas, mas tive a ideia de implementar um servidor de TS, e aplicar os seriais dos Offices que estao instalados nestas maquinas, lá no TS para estes clientes. Isso dá certo? E ai eu tiraria esses aparelhos do dominio e eles nao teriam nenhum vinculo logico com minha rede.

    Seria uma boa solução?

     

    Abs!!

    terça-feira, 6 de janeiro de 2009 15:25
  •  Claudio Dantas wrote:
    Fala Paulo

    Pq vc  nao cria uma vlan separada e coloca estes  usuários,
    Fiz da seguinte maneira, criei uma vlan só para usuarios de notebook, eles não logam no dominio, mas precisam mapear suas pastas, e instalei um bom anti-virús  com um agente instalado, que defino as configurações e regras para estes clientes,
    Os notebooks estão com o  Windows Vista home Premium ou seja não ingressa no dominio,
    Qnd apareçe algum usuário com notebook e  tenta colocar a maquina no dominio, não tem permissão, que por sinal  um  usuario comum consegue  adcionar ate 10 maquinas no dominio,mas  desabilitei esta opção na GPo "Domain Policy",
    No firewall liberei apenas determinados ip´s, e amarrei os ip´s aos mac no dhcp server.Caso o usuário tente colocar um ip estatico ele não vai conseguir navegar.

    Precisa melhorar muito ainda, mas fevereiro vejo isso.




     

    Oi Cláudio.

    Mas aí a minha preocupacao de pastas compartilhadas (mapeadas) continua. Eu nao queria que o laptop particular tivesse digamos assim, um "contato" direto com os arquivos da minha rede.

     

    OU entao que mnha rede fizesse um scan do antivirus automatico ANTES de este lap abrir os arquivos da rede... Mesmo assim é fo** pq usuario sempre faz uma cagada brilhante que a gente nem imagina.. Capaz de desinstalar meu antivirus pq acha que o pc ficou mto lento.. pqp... Surprise(

     

    Eu ja tenho uma maquina trabalhando assim aqui e tenho um medo dela danado. To doido pra me livrar dela.

     

    Abraços!!

    terça-feira, 6 de janeiro de 2009 15:29
  •  Felipe das Chagas wrote:

    Olá Paulo,

     

    Da uma olhada neste Webcast do Windows 2008:

     

    https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=pt-BR&EventID=1032383303&CountryCode=BR

     

    Ele apresenta um recurso chamado NAP - Network Access Protection.

     

    Nestes cenários realmente é muito dificil bloquear todo tipo de "brecha", porém temos como limitar bastante. Você pode por exemplo, bloquear o acesso a sua rede de máquinas que estejam sem antivirus, com o firewall desabilitado, sem algum tipo de patch do WSUS, etc, assim a máquina é direcionada para uma rede de remediação, onde só entra na rede mesmo, quando atender a todos os seus requisitos (disponiveis é claro).

     

    Mas baixe este Webcast e assista, vale a pena.

     

    Abraços e bom 2009.

     

     

     

     

    Felipe!

    Gostei disso! É uma ideia muito interessante! Fui me inscrever na Ms para poder ver o video, mas me diz... Parece que isso é um aplicativo para o windows 2008. Será que só funfa no 2008? Pq o meu é 2003.

    Será que rola essa aplicação?

     

    Abs!!

     

    terça-feira, 6 de janeiro de 2009 15:36
  •  Quintino Jr.-MCP wrote:

    Bom Dia

     

    Aonde trabalho a Politica de Segurança diz que não podemos conectar qualquer dispositivo pessoal na rede da empresa, ou sejá o usuario pode até levar o notebook, mas não poderá utilizar a rede.

     

    Abraço

     

    Eu queria fazer assim. Mas o Lap que o cara ta trabalhando terá que ser substituido por um computador desktop, e eu terei que comprá-lo. De qualquer forma vou ter que gastar dinheiro pra solucionar este problema.

    Valeu Quintino.

     

    terça-feira, 6 de janeiro de 2009 15:39
  • A ideia do Terminal Server é muito boa, porém o usuário ainda vai ter acesso aos compartilhamentos pois terá uma senha de rede e sabendo o caminho \\server\compartilhamento acessa normalmente, uma solução que pode implementar seria o TS em um servidor com 2 placas de rede, sem nat entre elas, onde a placa 1 fica conectada a rede dos seus servidores e demais estações de trabalho, e a placa 2 em um switch isolado apenas para os portateis, ou então em um router wireless, com isso vc da mais mobilidade ao pessoal dos laptops e não compromete sua rede pois a unica maneira de acessar os compartilhamentos seria pelo ts, com isso vc separa fisicamente a rede.

     

    Espero ter ajudado

     

    terça-feira, 6 de janeiro de 2009 15:42
  •  Carlos Borges wrote:
    Bom dia, Alex!

    Cara... tenho cliente com essa mesma situação, usuários são donos de seus próprios notebooks.

    Infelizmente eles precisam acessar o domínio, uma vez que os mesmos representam cerca de 70% dos computadores cliente na rede. Cliente não quer pagar Cisco Catalyst para VLAN, rsrs, fica meio difícil. Além de que, até respondendo tua pergunta, cada fabricante tem seu próprio firmware de configuração (e o IOS da Cisco não é tão simples!).

    O que eu faço?
    Me muno de segurança em antivírus, tanto no servidor, quanto nos notebooks, tanto que a cada notebook ingressado ponho um antivírus padrão da rede. Todas as máquinas devem, por padrão (e isso é uma política que adotei) ter instalado esse mesmo antivírus, sempre atualizado. Sem falar que tais usuários, não localmente, mas pelo menos no domínio, serem padrão e restritos, vc já diminui em 50% a incidência de vírus.

    Infelizmente a portabilidade às vezes vai contra a segurança. Quando se prende muito à segurança se perde mobilidade.
    Logo, como um bom administrador, vc deve minimizar os efeitos da falta de segurança.

    Abraço!

     

    Carlos,

    Pelo visto pensamos alinhados.

    Ainda bem, rapaz, que minha rede é pequena (25 clientes) e só 3 tem laps particulares.Se fosse mais eu acho que ja teria perdido 90% do cabelo remanescente da minha cabeça. Aqui tb uso um antivirus que eu párticularmente acho muito interessante, que é o Symantec EndPoint Protection, que protege contra virus, spyware e ainda tem um firewall pessoal. E tudo isso administrado por um servidor do proprio antivirus que fina no meu servidor central. As atualizações do antivirus sao baixados pelo servidor e distribuidos rapidamente para todas as maquinas cliente. Muito interessante.

    Aqui todos os usuarios sao padrao também, e tambem por medida de segurança adotada por mim, os donos dos laptops têm que, no momento que estiver trabalhando na empresa, utilizar um usuario sem direitos administrativos no proprio laptop.

    Mesmo assim me sinto inseguro do que estes usuarios podem fazer em casa. Por exemplo tem um que toda hora empresta o laptop pro filho que instala jogos etc, Sabe-se lá o que mais, ainda bem que existe o Symantec la sempre ativo e sem opção para desativar.

     

    Agora me diz, o que o Cisco Catalyst para VLan nos oferece de bom quando temos este problema? Eu acho que nao entendi direito esse lance de Vlan e por que ela nos ajudaria.

     

    Abraços rpz!!

     

    terça-feira, 6 de janeiro de 2009 15:54
  •  Robson dos Santos wrote:

    A ideia do Terminal Server é muito boa, porém o usuário ainda vai ter acesso aos compartilhamentos pois terá uma senha de rede e sabendo o caminho \\server\compartilhamento acessa normalmente, uma solução que pode implementar seria o TS em um servidor com 2 placas de rede, sem nat entre elas, onde a placa 1 fica conectada a rede dos seus servidores e demais estações de trabalho, e a placa 2 em um switch isolado apenas para os portateis, ou então em um router wireless, com isso vc da mais mobilidade ao pessoal dos laptops e não compromete sua rede pois a unica maneira de acessar os compartilhamentos seria pelo ts, com isso vc separa fisicamente a rede.

     

    Espero ter ajudado

     

     

    Nao tinha pensado nisso Robson.

    Realmente se o usuario tiver uma senha para conectar no TS, ele pode usar essa senha para abrir o compartilhamento.

    Mas será que nao existe outra maneira de bloquear o compartilhamento? Só assim com 2 placas de rede?

    Ficou meio complexo..

    Mas a 2 placa de rede tb nao vai ter os mesmos compartilhamentos da 1 placa? Como eu bloquearia essas pastas? Com um firewall?

     

    Abraços!!

     

    terça-feira, 6 de janeiro de 2009 16:01
  • Simples, a placa 1 ficaria com os endereços da sua rede atual ex: 10.0.0.1, já a placa 2 por onde estariam conectados os laptops ficaria com 192.168.1.1, mas essa parte do ip é a de menos, nesse caso as 2 placas não possuem nat, ou seja, não fazem roteamento entre si, trabalham como end point, dessa forma só conseguem conexão aos recursos quando conectados a esse servidor ts, dai em diante é só vc seguimentar a rede de forma os notes só se conectem por essa placa, simplificando é uma vlan de pobre rs...

    terça-feira, 6 de janeiro de 2009 16:10
  •  Paulo Alex RT wrote:

     Carlos Borges wrote:
    Bom dia, Alex!

    Cara... tenho cliente com essa mesma situação, usuários são donos de seus próprios notebooks.

    Infelizmente eles precisam acessar o domínio, uma vez que os mesmos representam cerca de 70% dos computadores cliente na rede. Cliente não quer pagar Cisco Catalyst para VLAN, rsrs, fica meio difícil. Além de que, até respondendo tua pergunta, cada fabricante tem seu próprio firmware de configuração (e o IOS da Cisco não é tão simples!).

    O que eu faço?
    Me muno de segurança em antivírus, tanto no servidor, quanto nos notebooks, tanto que a cada notebook ingressado ponho um antivírus padrão da rede. Todas as máquinas devem, por padrão (e isso é uma política que adotei) ter instalado esse mesmo antivírus, sempre atualizado. Sem falar que tais usuários, não localmente, mas pelo menos no domínio, serem padrão e restritos, vc já diminui em 50% a incidência de vírus.

    Infelizmente a portabilidade às vezes vai contra a segurança. Quando se prende muito à segurança se perde mobilidade.
    Logo, como um bom administrador, vc deve minimizar os efeitos da falta de segurança.

    Abraço!

     

    Carlos,

    Pelo visto pensamos alinhados.

    Ainda bem, rapaz, que minha rede é pequena (25 clientes) e só 3 tem laps particulares.Se fosse mais eu acho que ja teria perdido 90% do cabelo remanescente da minha cabeça. Aqui tb uso um antivirus que eu párticularmente acho muito interessante, que é o Symantec EndPoint Protection, que protege contra virus, spyware e ainda tem um firewall pessoal. E tudo isso administrado por um servidor do proprio antivirus que fina no meu servidor central. As atualizações do antivirus sao baixados pelo servidor e distribuidos rapidamente para todas as maquinas cliente. Muito interessante.

    Aqui todos os usuarios sao padrao também, e tambem por medida de segurança adotada por mim, os donos dos laptops têm que, no momento que estiver trabalhando na empresa, utilizar um usuario sem direitos administrativos no proprio laptop.

    Mesmo assim me sinto inseguro do que estes usuarios podem fazer em casa. Por exemplo tem um que toda hora empresta o laptop pro filho que instala jogos etc, Sabe-se lá o que mais, ainda bem que existe o Symantec la sempre ativo e sem opção para desativar.

     

    Agora me diz, o que o Cisco Catalyst para VLan nos oferece de bom quando temos este problema? Eu acho que nao entendi direito esse lance de Vlan e por que ela nos ajudaria.

     

    Abraços rpz!!

     



    De fato, Paulo. Nossa situação é bastante parecida. rsrs.
    Nesse meu cliente, os 'filhotes' dos usuários tb usam os notebooks. Isso de fato é uma dor de cabeça. Daí é o momento de vc utilizar algo mais 'ofocial', o que inclusive já desenvolvo e utilizo nos meus clientes: políticas de segurança acesso à rede e aos recursos. O que o usuário pode ou não fazer. Desenvolva, em nome da empresa, uma série de diretivas de segurança e crie termos de responsabilidade para os usuários, os quais devem ser conhecedores de norma por norma. Neste caso, você estará usando uma das premissas da segurança que é a transferência da responsabilidade, quando vc não puder ter um controle total sobre ela.

    Assim, responsabilizando o usuário pelo o que ele faz ou não na rede, você o inibe. Ele certamente pensará duas vezes antes de emprestar seu notebook ao filho. Mesmo o equipamento sendo dele, você precisa conscientizá-lo de que qualquer - com o perdão da palavra - 'merda' que ele fizer em casa com seu notebook, pode refletir de forma negativa na rede. Educar o usuário ainda é a melhor solução.

    Com relação à VLAN, trata-se duma solução um pouco mais complexa, numa camada mais inferior, definida pelo protocolo IEEE 802.1q. Em outras palavras, é como se você dividisse logicamente sua rede. É configurado no seu swicth, se este suportar tal tecnologia.

    Para pacotes duma VLAN chegar à outra VLAN, seria necessário um roteador ou um switch nível 3, que já faça esse encaminhamento.

    Resumindo, de fato, para fins de segurança, é uma solução interessante e eficaz. Entretanto, um tanto mais complexa.

    Abraço!
    terça-feira, 6 de janeiro de 2009 16:23
  •  Robson dos Santos wrote:

    Simples, a placa 1 ficaria com os endereços da sua rede atual ex: 10.0.0.1, já a placa 2 por onde estariam conectados os laptops ficaria com 192.168.1.1, mas essa parte do ip é a de menos, nesse caso as 2 placas não possuem nat, ou seja, não fazem roteamento entre si, trabalham como end point, dessa forma só conseguem conexão aos recursos quando conectados a esse servidor ts, dai em diante é só vc seguimentar a rede de forma os notes só se conectem por essa placa, simplificando é uma vlan de pobre rs...

     

    AH Tá!

    Boa rpz... Legal, Aí só a parte da rede 10.0.0.x terá acesso as pastas, enquanto a 192 só terá acesso ao TS.

     

    Traduzindo em grafico, :    |Compartilhamento|  <-----------> |Servidor TS| <---------------> |Rede nao confiavel|

                                                                             10.0.0.x            |          192.168.1.x

     

    Beleza!

    Pode ser considerado uma resposta ao problema!

    O contra desta solução é a infra-estrutura né. Tenho que pendurar uns cabos de rede por ai, comprar uns AC WiFi... hehehe.

     

    Muito bom raciocinio!

    Vamos esperar para ver se alguem tem mais alguma soluçao para apresentar.

    Abraços!

     

    terça-feira, 6 de janeiro de 2009 16:24
  •  Carlos Borges wrote:
     Paulo Alex RT wrote:

     Carlos Borges wrote:
    Bom dia, Alex!

    Cara... tenho cliente com essa mesma situação, usuários são donos de seus próprios notebooks.

    Infelizmente eles precisam acessar o domínio, uma vez que os mesmos representam cerca de 70% dos computadores cliente na rede. Cliente não quer pagar Cisco Catalyst para VLAN, rsrs, fica meio difícil. Além de que, até respondendo tua pergunta, cada fabricante tem seu próprio firmware de configuração (e o IOS da Cisco não é tão simples!).

    O que eu faço?
    Me muno de segurança em antivírus, tanto no servidor, quanto nos notebooks, tanto que a cada notebook ingressado ponho um antivírus padrão da rede. Todas as máquinas devem, por padrão (e isso é uma política que adotei) ter instalado esse mesmo antivírus, sempre atualizado. Sem falar que tais usuários, não localmente, mas pelo menos no domínio, serem padrão e restritos, vc já diminui em 50% a incidência de vírus.

    Infelizmente a portabilidade às vezes vai contra a segurança. Quando se prende muito à segurança se perde mobilidade.
    Logo, como um bom administrador, vc deve minimizar os efeitos da falta de segurança.

    Abraço!

     

    Carlos,

    Pelo visto pensamos alinhados.

    Ainda bem, rapaz, que minha rede é pequena (25 clientes) e só 3 tem laps particulares.Se fosse mais eu acho que ja teria perdido 90% do cabelo remanescente da minha cabeça. Aqui tb uso um antivirus que eu párticularmente acho muito interessante, que é o Symantec EndPoint Protection, que protege contra virus, spyware e ainda tem um firewall pessoal. E tudo isso administrado por um servidor do proprio antivirus que fina no meu servidor central. As atualizações do antivirus sao baixados pelo servidor e distribuidos rapidamente para todas as maquinas cliente. Muito interessante.

    Aqui todos os usuarios sao padrao também, e tambem por medida de segurança adotada por mim, os donos dos laptops têm que, no momento que estiver trabalhando na empresa, utilizar um usuario sem direitos administrativos no proprio laptop.

    Mesmo assim me sinto inseguro do que estes usuarios podem fazer em casa. Por exemplo tem um que toda hora empresta o laptop pro filho que instala jogos etc, Sabe-se lá o que mais, ainda bem que existe o Symantec la sempre ativo e sem opção para desativar.

     

    Agora me diz, o que o Cisco Catalyst para VLan nos oferece de bom quando temos este problema? Eu acho que nao entendi direito esse lance de Vlan e por que ela nos ajudaria.

     

    Abraços rpz!!

     



    De fato, Paulo. Nossa situação é bastante parecida. rsrs.
    Nesse meu cliente, os 'filhotes' dos usuários tb usam os notebooks. Isso de fato é uma dor de cabeça. Daí é o momento de vc utilizar algo mais 'ofocial', o que inclusive já desenvolvo e utilizo nos meus clientes: políticas de segurança acesso à rede e aos recursos. O que o usuário pode ou não fazer. Desenvolva, em nome da empresa, uma série de diretivas de segurança e crie termos de responsabilidade para os usuários, os quais devem ser conhecedores de norma por norma. Neste caso, você estará usando uma das premissas da segurança que é a transferência da responsabilidade, quando vc não puder ter um controle total sobre ela.

    Assim, responsabilizando o usuário pelo o que ele faz ou não na rede, você o inibe. Ele certamente pensará duas vezes antes de emprestar seu notebook ao filho. Mesmo o equipamento sendo dele, você precisa conscientizá-lo de que qualquer - com o perdão da palavra - 'merda' que ele fizer em casa com seu notebook, pode refletir de forma negativa na rede. Educar o usuário ainda é a melhor solução.

    Com relação à VLAN, trata-se duma solução um pouco mais complexa, numa camada mais inferior, definida pelo protocolo IEEE 802.1q. Em outras palavras, é como se você dividisse logicamente sua rede. É configurado no seu swicth, se este suportar tal tecnologia.

    Para pacotes duma VLAN chegar à outra VLAN, seria necessário um roteador ou um switch nível 3, que já faça esse encaminhamento.

    Resumindo, de fato, para fins de segurança, é uma solução interessante e eficaz. Entretanto, um tanto mais complexa.

    Abraço!

     

    Po Carlos, to vendo que vc é bastante experiente...

    Transferencia de responsabilidade. O que o usuario pode ou não fazer. Isso seria um documento, datado e assinado pelos usuarios?

    Carlos, tem algum forum aqui na M$ que possamos falar sobre assuntos deste tipo, documentacao etc? Pois eu nunca fiz um documento destes, sinceramente nao sei nem por onde começar e gostaria de estudar um pouco sobre o assunto. Estou vendo que eu me encaixo nessa situação. Nao tenho o controle integral sobre minha rede e qualquer coisa que aconteça será de minha responsabilidade. E nao posso deixar isso acontecer.

    Grande abraço!

     

     

    terça-feira, 6 de janeiro de 2009 16:38
  • Obrigado, Paulo. Apesar da pouca idade, apenas 21, hehe, algumas aulas de segurança computacional na facul e um pouco de experiências em clientes dá uma boa noção à gente! heuheuehue xD

    Meu velho... aqui na TechNet tem forum específico pra segurança sim. Dá uma conferida dps lá pra você ver algum que se encaixe melhor ao que vc deseja.

    Com relação a esse documento, sim, é uma documentação de algumas páginas, bem explicadinha. Lembrando que este deve estar público a todos os usuários e esses últimos devem assinar um termo de responsabilidade, atestando de que são cientes desse conjunto de normas.

    Passa um e-mail dps pra mim. Eu tenho um modelo que peguei da Internet e dei algumas incrementadas, inclusive é esse que utilizo nos clientes. Eu te mando!

    Ajudar e compartilhar informação nunca é demais! ;D

    Abraço!
    terça-feira, 6 de janeiro de 2009 16:53
  •  Carlos Borges wrote:
    Obrigado, Paulo. Apesar da pouca idade, apenas 21, hehe, algumas aulas de segurança computacional na facul e um pouco de experiências em clientes dá uma boa noção à gente! heuheuehue xD

    Meu velho... aqui na TechNet tem forum específico pra segurança sim. Dá uma conferida dps lá pra você ver algum que se encaixe melhor ao que vc deseja.

    Com relação a esse documento, sim, é uma documentação de algumas páginas, bem explicadinha. Lembrando que este deve estar público a todos os usuários e esses últimos devem assinar um termo de responsabilidade, atestando de que são cientes desse conjunto de normas.

    Passa um e-mail dps pra mim. Eu tenho um modelo que peguei da Internet e dei algumas incrementadas, inclusive é esse que utilizo nos clientes. Eu te mando!

    Ajudar e compartilhar informação nunca é demais! ;D

    Abraço!

    Grande Carlos!

    Foi mal pelo sumiço mas comigo é assim mesmo,rs.

    Po cara obrigado pela força! Vou te passar um email sim, vejo o endereço no seu perfil, correto?

    Vou passar agora!

    Grande abraço e bom fds!!!

     

     

    sábado, 10 de janeiro de 2009 16:39
  • Cara,  NAP, e AD e/ou link dedicado.  ou melhor me fale o que essas maquinas precisam acessar ???
    sexta-feira, 7 de outubro de 2011 15:54