Netzwerk gegen Viren über Notebooks absichern

[-GQ-Phantom4]

Hi,

wir sind gerade dabei für unsere Firma (350 User) ein Sicherheitskonzept für Notebookuser zu erstellen.

Wie sollte man vorgehen, wenn ein User für sagen wir mal 4 Wochen nicht am Firmen-Netz war (daher auch den Virenscanner (McAfee 7.1) nicht akuallisieren konnte) wieder ans Netzwerk will?

Sobald er sich einstöpselt bekommt er von unserem DHCP Server ja eine IP zugewiesen und ein Wurm könnte sich munter verbreiten wie er will, da die aktuallisierung des Virenscanners erst nach der Anmeldung erfolgt.

Wie würdet ihr das machen bzw. wie macht ihr das?

[taschentoast]

Hi,

spontan, ohne eure Netz-Struktur zu kennen, fällt mir sowas ein:

Extra Netzwerk-Segment für die Notebooks, wo nur der DHCP-Server und der "Virenscanner-Update-Server" drin stehen. Das Ganze mit PF stark abgesichert. Notebook anstöpseln und erst wenn der Virenscanner aktualisiert wurde, darf man per VPN oder sowas ins interne Netz.

Die Billiglösung ist eine Pseudo-DMZ wo nur SSH ins interne Netz darf, die Lösung ist aber stark Anwendungsabhängig (weil wg. Ports etc)

Noch Fragen/Vorschläge?

Gruß

taschentoast

[janlutmeh]

Blöde Frage, woher sollen die NB´s sich in dem Zeitraum was einfangen?

Wenn die I-Net gehen wär doch als Lösung denkbar eine Firmeneinheitlicher Serviceprovider (z.B. UUNet ) der die Verbindung hostet. Über die Verbindung Tunnel in die Firma und von dort via Firewall ins Internet. Das ganze mit ner Betriebsvereinbarung für die Mitarbeiter dingfest machen.

Dann würde das auch mit dem Update von Patterns klappen.

[janlutmeh]

So, nochmal schlau gemacht und das hier gefunden.

Funzt dann natürlich nur mit Server 2003 und XP Clients, entspricht aber wohl ziemlich genau Deinen Anforderung. Liesse sich dann ja denke ich mit einem 2003 RAS Server lösen bei gleichzeitigem Einsatz von XP auf den Laptops.