Konferenční místnosti - připojení ntbk

[ITCrowd]

Nezlob se, ale nemá cenu se s tebou o něčem bavit, když se v tom neorientuješ. Zkus si nastudovat jak to funguje a pak piš. Nebo se někoho zeptej.
Zkus si představit, co se tak asi stane - připojíš si na port switche router se správně nastavenou WAN IP a schválenou MAC. Jak dlouho bude trvat, než se objevíš v logu? A pokud znáš jméno a heslo do domény, pak ten router není ověřené zařízení => máš průšvih. A tím tvé pokusy končí.
Osobně považuju další diskuzi za zbytečnou. Tazateli to po všech možných pokusech a zbytečně utracených financích dojde taky.

[Reklama]

[petr22]

Funguje to tak jak rikam ja. Overeni do domeny nepotrebujes k tomu, aby ses dostal do site a to uz je spatne.

Ve vsech firmach co znam (a mas tam na siti treba stovky tisic zarizeni) je zakazano pouzit zarizeni, ktere
umozni pripojeni ciziho pocitace do LAN. Tudiz zadna dokovacka ani USB sitovka s vlastni MAC.

Proto radim napred overit zda ta dokovacka neni reseni za ktere muze take letet za poruseni bezpecnosti.
Jestli je to napr. automobilka tak jsem si prakticky jist ze mu to nepovoli.

[ITCrowd]

Znovu - pleteš se. Běž se někoho zeptat.
každej jouda, který umí změnit MAC se může do vaší firemní sítě připojit, protože žádnou jinou ochranu nemáte. Změnu MAC jde udělat i v těch blbejch woknech. A když ještě někomu zobne přihlašovací údaje, tak si může tuplem dělat co chce. Toto u nás možné není, museli jsme to ošetřit. Můžu tě ubezpečit, že síťový provoz neověřeného zařízení je automaticky zablokován. A proto lze použít univerzální dokinu. Jak jsem psal, nejdřív si nastuduj, pak piš.
Howgh.

[Martab]

Pánové, prosím nedohadujte se zde, pokud máte tu potřebu, jsou zde SZ.

[ITCrowd]

Dohaduje se petr. A to proto, že nemá informace. Dovolím si proto vysvětlení.
Zabezpečení o kterém petr mluví, nesouvisí s doménou, a dnes už se víceméně nepoužívá. Jde o to, aby se do sítě nedostalo zařízení mimo whitelist MAC adres. Jde to nastavit až tak, že na konkrétním portu switche může být připojena jen a pouze určitá MAC adresa. Tohle bylo běžné "zabezpečení" ještě v dobách XP, a byť je i dnes ještě vidět (a to i u nás), vzhledem k tomu, že tohle dokáže obejít i student střední školy, už se na něm netrvá. Navíc je nepohodlné - pokud odjedu se svým notebookem na jinou pobočku, pak moje spojení jde třeba přes 3 routery, nějakou VLAN, atd. Tudíž se místní router k mé MAC nedostane a nepřipojil bych se. Takže od tohohle se upouští. Naprostou většinou se ošetřuje systémově - podepíšeš papír, že nic nepřipojíš, pokud jo, §53. Což máme taky.
Následuje krok 2 - ověření zařízení na doméně - v momentě, kdy mám IP adresu, začíná být ve hře OS. S tím jak se spouští síťové služby (či démoni, jak chcete) se řadič "zeptá" - co jsi zač? A zařízení odpoví jsem ten a ten a posílá hash. V případě, že neodpoví, nebo hash nesouhlasí, končí síťová komunikace a automaticky se posílá alarm s údaji kde, kdy, co. Když jsme to nasazovali, občas byly zajímavé úkazy - např. pc s pevně nastavenou IP, v provozu 24/7, po restartu nekomunikovalo, v ipconfig adresa správná, ale ve woknech 169....
A poslední krok je identifikace osoby - nejčastěji jméno a heslo.
U WiFi je to naopak - aby se zařízení mohlo k WiFi připojit, vyžaduje wifiAP heslo k doméně. A teprve po jeho zadání a ověření následuje dotaz řadiče "co jsi zač". A pokud neodpoví, či odpoví nesprávně, opět alarm.
Jinými slovy - při připojení neověřeného zařízení k dokině jeho síťový provoz končí v kroku 2. Dále následuje větší, či menší pokárání, či upozornění (to podle výše funkce) člověku, který to tomu dotyčnému dovolil.
Výhody jsou myslím jasné - můžu se připojit kde chci, kam chci (samozřejmě se schváleným zařízením). Nemusím udržovat databázi MAC adres, nastavovat hafo switchů.
Nevýhoda, kterou vidím spíše jako výhodu - každé nové zařízení (mobil, tablet, ntb, pc, atd.) musí projít IT oddělením. I kdyby si sám generální nechal koupit nový služební mobil, tak bez toho, že by ho zanesl na IT, nemá šanci.

[petr22]

"každé nové zařízení (mobil, tablet, ntb, pc, atd.)"

O tom to prave je, pokud ve firme nejsou jina nez vyse jmenovana zarizeni tak overeni pouze pres domenu je pouzitelne.
Pokud mas tisice zarizeni ktera technicky neni mozne zaradit do domeny ani na nich cokoliv zmenit (vyrobni zarizeni spravovana
dodavatelem, zkratka blackboxy) tak tam overeni pomoci domeny pouzit neni mozne. Pres IT mohou projit vyse zminena
zarizeni urcena pro bezne uzivatele, ale ne meraky, vyrobni pocitace a jina sitova zarizeni pouzivana ve vyrobe. Kdybys overeni
pouze pomoci domeny nasadil v libovolne fabrice kde mas na siti tisice zarizeni (vetsina z nich bez domeny) tak ji zastavis.

Proto trvam na tom ze pred nasazenim cehokoliv je nutne overit bezpecnosti politiku ve firme tazatele, co je a co neni mozne.
Do LAN lze zapojit i to Barco Clickshare a to pres domenu overit nelze, ale IP adresu dostat musi. Uzivatele pripojeni do stejne site,
tedy firemni zamestnanci, nemusi nutne pouzivat USB dongle, staci aplikace od Barca (ktera je i na dongle).

Jedina udrzba je aktualizace firmware v Barcu, kdy je nutne do nej postupne pripojit vsecky USB dongly aby se aktualizoval
firmware i v nich, jinak nejde promitat a zobrazuje se sprosta hlaska ohledne verze firmware.

[cervcek]

IT oddělení nemůže jen tak vystřelit směrnici, která paralyzuje business, proto se už několik let mluví o "Business and IT alignment". V rámci nasazení bezpečnostního opatření odřízneš v továrně jeden byť podpůrný proces a můžeš zastavit výrobu a způsobit takový finanční škody, že výrazně převáží hodnotu rizika, které se snažíš bezpečnostním opatřením ošetřit. Tím pádem se docela snadno můžete setkat i s kombinací obou vašich řešení, např: Známá zařízení typu síťový prvek, videokonference, diskutovaný Clickshare, nebo čidlo přes port+MAC adresu, uživatelská zařízení typu mobil a laptop přes certifikát do domény. Pokud firma nejede na starým on premise active directory, tak je možnost povolit BYOD a generální si může svůj nový iPhone zaregistrovat do intune i bez zásahu IT, protlačí se bezpečnostní politiky a certifikáty na přístup do sítě si mobil nainstaluje sám.

[atari]

...V rámci nasazení bezpečnostního opatření odřízneš v továrně jeden byť podpůrný proces a můžeš zastavit výrobu a způsobit takový finanční škody,...

Je to přesně naopak. Tímto opatřením můžeš zabránit zastavení výroby. Pokud bys opatření neudělal, tak se do systému může dostat vir, který tu výrobu paralyzuje (což lze mnoha různými způsoby).

A z hlediska bezpečnosti se tady neřeší zda nějaký proces povolit nebo zakázat (v tomto případě konference, prezentace apod.), ale jakým způsobem ho udělat, aby to bylo bezpečné. A to jak to udělat, nemůže navrhnout ředitel nebo jeho zástupce apod., ale ten kdo je za to placený.

V případě průšvihu půjde vše za IT oddělením, pokud se zjistí, že něco zanedbali.

[petr22]

V podstate jsou 3 moznosti. Zalezi na tazateli do ktere patri - rozhodne nic nekupovat bez schvaleni odpovednych
osob. Pripadu, kdy nekdo utratil firemni penize za zarizeni ktere bylo nasledne k nicemu jsem uz par videl.

1. Overovani pouze pres domenu. V tomto pripade je zajisteno, ze USB sitovka dokovacky nebude pouzita na
pripojeni neschvaleneho zarizeni do site. Budou to zejmena ciste "office" firmy bez jakekoliv vyroby, protoze
stovky zarizeni dodanych zakazniky a dodavateli na ktere se nelze ani zle podivat natoz do nich zasahovat takto
overovat nelze.

2. Overeni pomoci MAC - kdy nelze pouzit dokovacku bez funkce passthrough, aby si do site nekdo nepripojil i to
co nema. Toto budou fabriky a takzvane montovny se stovkami tisic zarizeni v siti. Na cele siti v jednom baraku treba
4000 zarizeni (a klidne i desetkrat tolik) a ke zmenam dochazi 24/7, nelze vse schvalovat pres IT, treba jen 10 minut
zastaveni vyroby automobilky stoji miliony Euro.

3. Zadne overovani. Firmy, kde o informacni bezpecnosti neslyseli a nijak ji neresi, funguje vse co se pripoji
do site. Tam budou univerzalni dokovacky pouzitelne. Jedna se zejmena o mensi firmy, ktere nechteji investovat
do drahe infrastruktury ktera je podminkou funkce zabezpeceni.

[ITCrowd]

Zajémavé je, že petr, který dosud o ověření proti doméně neslyšel, hodlá diskutovat o výhodách a nevýhodách. Jak typické.

[petr22]

Uz jsem jednou psal, ze tak overujeme notasy pres WiFi a VPN. Ale vyrobni zarizeni tak overovat nemuzes.
Budto v domene byt nemuze, nebo je ve vlastni domene dodavatele, pripadne v nem neni povolen zadny zasah.
Chod firmy ma vetsi prioritu, pokud nekdo v noci nedokaze vymenit nejake zarizeni protoze se nepripoji do site,
stoji vyroba a rano mas pruser.

Samozrejmne i to Barco co doporucuju ja je nutne nechat schvalit. Musi se jet podle standardu, ne provadet hura
akce podle toho co nekomu pripadne jako dobry napad. Zarizeni v zasedackach jsou veci co definuje firemni standard,
nemelo by byt mozne je koupit bez patricneho zduvodneni.

Pokud jde o Jabru - jaka Jabra to je konkretne ? Jabra dela specialni mikrofonoreroduktory do zasedacek, co funguji
pres Teams. Kryci nazev UFO, protoze to tak vypada. Je to toto, nebo obycejne headsety na hlavu? Ten mikrofonoreproduktor
staci 1 na mistnost i pro 20 lidi. Podle me nema smysl hledat nahradu takove veci.

[ITCrowd]

Zajémavé je, že petr, který dosud o ověření proti doméně neslyšel, hodlá diskutovat o výhodách a nevýhodách. Jak typické.

A jako "největší" odborník se spokojí pouze s omezením na MAC. A naprosto klidně nechá citlivé informace vysílat po wifi pro každého
Vyrobni zařízení by mělo být na striktně oddělené síti, kam se z normální doménové sítě nelze dostat (a tím pádem ani z internetu). Toto jsem viděl už v roce 2004.