Controlar pcŽs que se conectan a una Lan

05/09/2008 - 17:38 por paco | Informe spam
Hola a todos, tenemos un dominio con un 2003 server como DC y otro
server que tiene instalado ISA Server 2006.
Quería saber de que forma se puede controlar que si por ejemplo un
extraño accede a nuestras instalaciones y enchufa un cable de red a
nuestra instalación, este no pueda obtener dirección ip automáticamente,
ni pueda configurarla manualmente, y que sea el administrador de la red
el que controle todas las ipŽs que se emiten en la red.
Saludos y gracias.
 

Leer las respuestas

#1 Desiderio Ondo.
08/09/2008 - 14:36 | Informe spam
Hola, Paco:

Es posible lo que comentas, pero me temo que te resultará
un popquito más complicado de lo que aparenta...

Lo que se refiere al tema de NO obtener una IP automáticamente
lo puedes hacer o bien des-habilitando (o des-instalando) el
servicio "servidor DHCP" (lo cual depende de cómo lo tengas
configurado tu red corporativa, pero de buenas a primeras NO
te lo recomendaría), o bien asignando TODO un sub-rango de
red como reservas DHCP a las MAC que corresponden a las
ethernet "oficiales" de tu red corporativa. Más info:

Uso de reservas de clientes DHCP:
http://technet2.microsoft.com/Windo...d3082.mspx

La otra opción (empleando ISA server) es que DESPUES de que
<USER> haya establecido conexión con la red corporativa asignándose
una configuración válida, asignes una serie de reglas que denieguen
las conexiones tanto internas como al exterior (lo cual NO te lo
recomiendo, ya que en el momento en que <USER> se dé cuenta,
sólo le basta con ir probando con IP's distintas, lo que os lleva a un
juego tipo ratón-gato, llevando tú las de perder). Personalmente
prefiero mejor la opción de reducirle a menos del 1% el ancho de banda
disponible tanto interna como de acceso al WWW, por no mencionar un
mayor control de los accesos por ACL's basados en horas de inicio de
sesión, todo ello auditado, por supuesto.

Ahora bien, por fortuna/desgracia, NO puedes controlar la asignación
de datos/configuraciones que se haga <USER> en su estación portable,
por ejemplo. Si tiene privilegios sufificientes, aun en el caso en que lo
puedas configurar a tu gusto empresarial, él podrá siempre cambiarlo
nuevamente, lo que lleva a que mejor hagas uso de la llamada "Ingeniería
social" para que nadie trate de hacer trastadas cuando no estás delante.
Más info:

Gestión de identidades y accesos no autorizados. Ingeniería social:
http://www.microsoft.com/spain/tech...ement.mspx

Guías de seguridad para redes:
http://www.microsoft.com/spain/tech...urity.mspx

Guías básicas de políticas de seguridad empresarial:
http://www.microsoft.com/spain/tech...icies.mspx

Amenazas y contramedidas REALES en la empresa:
http://www.microsoft.com/spain/tech...gch00.mspx
·
Ya nos contarás cómo te ha ido...
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | MCSE MS-w2K3.
http://pantuflo.escet.urjc.es/~desitech


"paco" wrote:

Hola a todos, tenemos un dominio con un 2003 server como DC y otro
server que tiene instalado ISA Server 2006.
Quería saber de que forma se puede controlar que si por ejemplo un
extraño accede a nuestras instalaciones y enchufa un cable de red a
nuestra instalación, este no pueda obtener dirección ip automáticamente,
ni pueda configurarla manualmente, y que sea el administrador de la red
el que controle todas las ip´s que se emiten en la red.
Saludos y gracias.


Preguntas similares