Şirket Ağında İnter...
 
Bildirimler
Hepsini Temizle

Şirket Ağında İnternete Çıkıma  

  RSS
Andaç Kartal
(@andackartal)
Üye

Değerli üyeler,

Şirketinize dışarıdan gelen bir misafir.
Duvarda ki switche bağlı bir RJ45 portunu laptopuna taktığında internete çıkabilir mi ?
yada, Br kullanıcı evden getirdiği kişisel laptopuna şirkette ki bilgisayarın network kablosunu takıp internete bağlanabilir mi ?

Son soru, şirket çalışanlarının şirkete kişisel bilgisayarlarını getirmesine izin veriyormusunuz ?
ISO27001 in bu konu hakkında ki tutumu nedir ?

 

Farklı şirketlerin konu ile ilgili politikalarını merak ettiğim için, bir kaç cümle yanıtlayabilirseniz çok memnun olurum.

Alıntı
Gönderildi : 03/10/2017 11:20
Davut EREN
(@davuteren)
Üye

Merhaba,

Güvenlik seviyenizi kurum içerisinde yükseltmek istiyorsanız ve yönetimin bu konuda desteği var ise bu konuda kurum active directory'ne dahil olmayan bilgisayarlar duvar prizine kablolarını taktıklarında farklı bir vlan'a yönlendirilerek internete çıkış sağlanabilir. (802.1x bu konuda yapılacak en iyi uygulamadır bana göre) kabloyu taktığında ağ üzerinden sunucu ve ofis bilgisayarlarının olduğu ağ üzerindeki aynı ip yi alıyorsa güvenlik riski var olarak görüyorum ben.

Kullanıcı evden getirdiği bilgisayarını network kablosuna taktığında internete çıkabilir mi konusu ise BYOD (Bring your own device) bu konuda yine şirketinizin tutumu önemli, bir çok kurum BYOD'a izin vermiyor. Sonuç itibari ile eğer bi VLAN ayrımınız yok ise ağ üzerine takılan her cihaz, her telefon, her tablet virüs gibi kötü yazılımların da ağınıza bulaşma riski oluşturur.

ISO27001; kişisel bilgisayarlarının getirilmesi konusunda özel bir tutumu yoktur yönetimin onayı ve eğer yazılmış bir prosedür/politikanız var ise problem olmayacaktır.

 

 

CevapAlıntı
Gönderildi : 03/10/2017 11:33
Erdem Kara
(@ErdemKara)
Üye

Merhaba,

En basitinden Dchp server üzerinde mevcut clinetların mac adreslerine izin verirsiniz bunun dışındaki pcler ip almayacaktır bizim firmamızda 27001 sertifaksı mevcut şirket dışından gelen bilgisayar olduğunda mevcut hotspot üzerinden bizim kontrolümüz dahilinde internet çıkışı veriyoruz.

CevapAlıntı
Gönderildi : 05/10/2017 12:26
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

merhaba,

ilk sorunuz için, herhangi bir kullanıcı sisteminize üye değil ise, kesinlikle ip almamalı. bu kişisel bilgisayarlar olsa dahi.

ikinci soru, konuya 27001 olarak bakmayın, amacınız güvenlik ise, kuruma ait olmayan tüm hostlar sizin için misafir veya yetkisi kullanıcı sınıfına girmeli.

27001 sadece kapsamı belirtir, hangi yolu kullanmanız gerektiğine kurum/it karar vermelidir.

802.1x, mac base vlan kullanılabilir.

veya hiçbir girişiminiz yok ise, önce en basit hali olan mac filter ile başlayın.

misafir ağı için hotspot çözümlerden birini kullanılabilir.

devamında bütçe ve tercihinize göre ilerleyebilirsiniz.

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 05/10/2017 15:32
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Merhaba,

 

http://www.cozumpark.com/blogs/network/archive/2016/12/04/kablolu-veya-kablosuz-aglarda-802-1x-ile-merkezi-guvenligin-saglanmasi.aspx

 

Bu makale işinizi görecektir.

CevapAlıntı
Gönderildi : 09/10/2017 12:08
Andaç Kartal
(@andackartal)
Üye

[quote user="Turan COŞKUN"]

merhaba,

ilk sorunuz için, herhangi bir kullanıcı sisteminize üye değil ise, kesinlikle ip almamalı. bu kişisel bilgisayarlar olsa dahi.

ikinci soru, konuya 27001 olarak bakmayın, amacınız güvenlik ise, kuruma ait olmayan tüm hostlar sizin için misafir veya yetkisi kullanıcı sınıfına girmeli.

27001 sadece kapsamı belirtir, hangi yolu kullanmanız gerektiğine kurum/it karar vermelidir.

802.1x, mac base vlan kullanılabilir.

veya hiçbir girişiminiz yok ise, önce en basit hali olan mac filter ile başlayın.

misafir ağı için hotspot çözümlerden birini kullanılabilir.

devamında bütçe ve tercihinize göre ilerleyebilirsiniz.

[/quote]

 

Merhaba,

Değerli yorumlarınızı biraz geç gördüm. 
Mac filtreleme yi eğer sizlerde uyguluyorsanız bu bana mantıklı geldi.

Access Point için senaryonuz nedir.  Linksys LAPAC1200 kullanıyorum.

Misafirler bağlantı kurmak istediklerinde isim soyisim email paylaşarak hangi departmana geldiyse o departmandan onay mail i almasını 
sağlayabilirmiyim. 

 

CevapAlıntı
Gönderildi : 18/10/2017 23:43
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

[quote user="Andaç Kartal"]

Access Point için senaryonuz nedir.  Linksys LAPAC1200 kullanıyorum.[/quote]

mac filtrelemeyi ister ap üzerinde, isterseniz direk dhcp server üzerinde gerçekleştirmeniz mümkün, tercihinize kalmış.

maliyeti düşük, güvenlik tarafında giriş nokta ve zafiyetleri olan bir yapı.

[quote user="Andaç Kartal"]

Misafirler bağlantı kurmak istediklerinde isim soyisim email paylaşarak hangi departmana geldiyse o departmandan onay mail i almasını 
sağlayabilirmiyim. [/quote]

Bu talebinizi coslat ile gerçekleştirmeniz mümkün, incelemenizi öneririm.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/10/2017 03:25
 Anonim

yapınızı bilmemekle tavsiyelerim 

Envanter çıkarıp network erişimi sağlayacak olan cihazların MAC adreslerinin listesini yapın DHCP sunucunuzda rezerve edin ve karşılarına kim kullanıyor gibi bilgiler girerseniz analizde kolaylık saglar ardında switcler Layer 2/3 ise Switch port security yaparak switclerin portlarında izinli mac adresleri haricinde cihaz bağlandığında o port devre dısı kalır ve firewall üzerinde log kaydı tutabilirsiniz 

 

Wifi kısmına gelince mac filtreleme yaparak Ghost SSID mod çalıştırabilirsiniz 

CevapAlıntı
Gönderildi : 08/02/2018 22:46
Melih Joe Dilben
(@MelihJoeDilben)
Üye

Selamlar,

Biraz bütçe ile bu işi kolayca yapabilirsiniz.

Biz Ruckus AP'ler aldık. Burada domainde olmayan kullanıcılar internete çıkarken login ekranı getirdik. Sophos firewall ile kısıtlamaları koyduk. Daha sonra 5651 loglama yı daha efektif kullanmak için bir firmadan T.C. kimliği ile giriş yapabileceği bir hizmet aldık. 

Dilerseniz detayları ve maliyetleri aktarabilirim. 

CevapAlıntı
Gönderildi : 16/02/2018 03:20
Andaç Kartal
(@andackartal)
Üye

Selamlar,

Biraz bütçe ile bu işi kolayca yapabilirsiniz.

Biz Ruckus AP'ler aldık. Burada domainde olmayan kullanıcılar internete çıkarken login ekranı getirdik.

(*) Login girişini nasıl sağlıyorlar ?     TC numarasını nasıl entergre ettiniz *

Sophos firewall ile kısıtlamaları koyduk.

(*) Kısıtlamalar nedir ?

Daha sonra 5651 loglama yı daha efektif kullanmak için bir firmadan T.C. kimliği ile giriş yapabileceği bir hizmet aldık. Dilerseniz detayları ve maliyetleri aktarabilirim. 

Lütfen biraz daga detaylı bilgilendirme yapabilir misiniz ?

CevapAlıntı
Gönderildi : 16/02/2018 17:16
Paylaş: