VMPS, noen erfaringer? - Nav-users

17 Jun 2004

      Hei
Problemstillingen du tar opp her tror jeg det er mange som er opptatt av, og
en glup l?sning av problemet ville bli tatt imot med stor glede.
P? H?gskolen i Narvik har vi iverksatt et tiltak, som hverken er galant eller
arbeidsbesparende, men det har gitt oss positiv effekt.
P? switchene som betjener data-saler, fellesrom som bibliotek o.l og har fast
oppkoblede maskiner, har vi ganske enkelte satt "enable port security" p?
switchene. Samtidig har vi g?tt ut med informasjon til v?re brukere om dette,
og redegjort for konsekvensene og de ulempene det medf?rer med at porten
l?ses dersom man napper ut en allerede oppkoblet PC.
Vi har ogs? i kj?lvannet av dette etablert et tr?dl?st tilbud internt p?
H?gskolen hvor vi filtrerer p? MAC-adresser, og som gj?r at de med b?rbar har
full mulighet for oppkobling til nettet etter ? ha f?tt registrert sin
MAC-adresse hos IT-Seksjonen.
For grupperom og fellesrom for studenter har vi satt opp et NAT'et lan i
192.168.xxx.xxx via en Linux-boks, og et sett med FW-regler i IP-tables hvor
studentene kan koble opp sitt private utstyr.
Sporbarheten til de enkelte maskinene, ogs? p? tr?dl?s-sida og i det NAT'ede
nettet ivaretas p? en utmerket m?te av NAV, og NAV har ogs? i mange tilfeller
hjulpet oss med ? finne maskiner som har v?rt ?rsak til port-sperring i det
MAC-adressen som er ?rsak til sperring blir liggende i ARP-tabellen p?
switchen.
Det som jeg ser som den st?rste fordelen etter at vi innf?rte denne
praksisen, er n? at studentene selv i stor grad passer p? at ikke
uvedkommende pr?ver seg p? "open jack", og denne "justisen" er langt mer
effektiv, en de formaninger som kommer fra IT-Seksjonen.
V?r praksis gir jo ekstraarbeid, men er jo overkommelig p? en s?pass liten
H?gskole som vi er, men vi har vurdert, og vil pr?ve p? sikt ? f? til et mer
"automatisert" system som ogs? b?r inneholde en brukerverifisering. Ut i fra
det svaret som Vidar ga deg skaper han en del forventninger hos meg n?r det
gjelder ny versjon av NAV. Ellers vil jeg v?re takknemlig dersom andre har
input p? hvordan slike problemer h?ndteres.
mvh Ketil
...
-----Original Message-----
From: owner-nav-users@itea.ntnu.no 
[mailto:owner-nav-users@itea.ntnu.no] On Behalf Of Christian Ramstad
Sent: Friday, October 24, 2003 2:07 PM
To: nav-users@itea.ntnu.no; nettdrift@hio.no; Bj?rn Torvatn
Subject: VMPS, noen erfaringer?
Hei,
Denne henvendelsen har ikke noe direkte med NAV ? gj?re, men jeg tror 
ikke den er helt uttafor heller...
Saken:
Vi ?nsker ? f? bedre kontroll p? personer som kopler opp 
b?rbart utstyr 
via tr?dfaste punkter, der det m?tte passe, i nettet v?rt.
Slik det er n? s? gj?r folk f?lgende:

Kopler seg p? nettet via tilgjengelige aktiviserte (av IT) RJ45

punkter. De f?r ip adresse fra DHCP og that's it.

Napper ut allerede oppkoplede PC'er og surfer ivei.

De siste m?neders orme-trojan-virus b?lger har f?tt oss til ? tenke 
bittelittegranne mer restriktivt...
..Og da dukker VMPS opp...
Sp?rsm?l:

Er det noen som gj?r noe glupt i denne sammenheng, som ikke

n?dvendigvis har med VMPS ? gj?re?
Se for?vrig disse linkene:
http://www.uwm.edu/~jeff/doc/vmps/
http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration...
guide_chapter09186a00801a5b3d.html
mvh
chr