Protezione rete LAN ufficio da minacce (virus ecc...) portate dai notebook

[roddik1980]

Protezione rete LAN ufficio da minacce (virus ecc...) portate dai notebook

Buongiorno a tutti,

ho il seguente problema:

Protezione rete LAN ufficio da eventuali VIRUS / MINACCE portati dai notebook esterni.

Tutte le volte che i miei colleghi vengono in ufficio e si collegano alla mia LAN e condividono le risorse di rete potrebbero POTENZIALMENTE portare dentro alla mia LAN virus e/o altre minacce che hanno sui loro notebook utilizzati all' esterno !

Premetto che ogni notebook ha un antivirus aggiornato (Norton oppure Kaspersky ).
Come faccio ad essere sicuro che non mi portino dentro dei virus e/o altre minacce ? O meglio, io non so e non posso sapere se il loro antivirus è aggiornato e il loro sistema privo di virus !

Quale è la soluzione migliore di protezione da adottare in questi casi ?
Come posso controllare i loro notebook ogni volta che si connettono alla mia LAN ?
Vi anticipo che ho un server HP proliant con SBS premium. Ho ISA Server ma non lo sto usando !

Voi che soluzione adottereste ?

Grazie a tutti in anticipo e buona giornata.

Mark

[mardux]

bhè la soluzione dipende dal badget e dalla configurazione di rete-sistema.

partendo dal presupposto peggiore, cioè ipotizzando che i notebook che si connetto alla tua rete sono infestati da malware o utenti pericolosi, io farei ad esempio così:

terrei in una DMZ tutti i portatili che devono connettersi al mio sistema, e poi abiliterei sul FW i servizi che richiedono monitorandoli. un'pò macchinosa, e se non hai un FW non puoi farlo (non penso che ISA permetta di fare quello che ho detto), ma garantisce un'ottima sicurezza.

dmz notebook

notebook1 }
notebook2 } ----> FW ------> rete aziendale sicura
notebook3 }

oppure potresti centralizzare tutte le richieste di questi notebook in un sistema stile metaframe, che poi si occupa di effettuare direttamente le richieste sui sistemi interessati. i questo caso i notebook (sempre su un'altra rete o DMZ) tramite un programma agent si connetto al server metaframe (sulla rete protetta) ed esegue direttamente le richieste degli utenti dei notebook sui server. ovvio che il metaframe deve avere tutte le applicazioni che servono agli utenti notebook.

dmz notebook rete aziendale sicura

notebook1 }
notebook2 } ----> FW ------> metaframe ----> server
notebook3 }

altra soluzione, che avevo provato tempo fà, è "zone alarm integrity server":

è un server che ti permette di gestire direttamente tutti i personal FW installati su client. crei gruppi di IP e regole comini, ed hai tutta una serie di possibiltà che ti offre la gestione centralizzata dei personal FW installato sui client.

ovvio i notebook devono avere l'agent FW installato che entrerà in funzione con le sue regole quando farà parte della rete privata. quando è fuori può lavorare in modo autonomo e essere disattivato. qui nn necessiti di DMZ ed hai una marea di possibilità per quanto riguarda le regole. ovvio non è gratis..

cmq secondo me separare le reti tramite DMZ o VLAN resta la soluzione più veloce e sicura