Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2747 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Managing Students with multiple devices

Marvout
What authentication do I want to use in order make this scenario work:

We've just installed a SG210 in our school, yesterday, and I'm working on configuring it.  When the students show up in the fall, I want to be able to pin their username to their device's MAC address.  Billy has a laptop with a MAC of *** and phone with a MAC of yyy.  Once he as given me his MACs, he would now be let onto the system and allowed web access.

The goal would be that he can't get on with devices I don't know about.  He can't get on with someone else's machine.  I want to be able to track his usage, and I want to be able to throttle him or cut him off if I need to.

Each of the students will have an email account in our local Active Directory/Exchange server and have a school email address on our local domain.  

As I'm poking around in the UTM, I can see that I can add names to devices that show up in the Wireless Protection/Wireless Clients, but I don't see any link between that information and the Definitions & Users/Users & Groups sections.  Am I missing something here?  Shouldn't I be able to pin devices to people?

I don't mind if I have to pin the MACs to static IPs if I can then connect the user to the IP numbers.  There must be a way to connect logins to devices.  I'm just not seeing it.

MH


This thread was automatically locked due to age.
  • 0
    The UTM doesn't have a way to correlate username to both IP and MAC.

    There are only a few areas where you can use MAC addresses.  In firewall rules, wireless networks, connection to REDs, and host definitions (for static IP assignment only).

    Shouldn't I be able to pin devices to people?
    The closest you can get to this, by IP only, would be via the (user network) objects in Network Definitions.  These will only populate the IP used by the user under two circumstances.  If you use the Client Authentication client (windows and MAC OS X only) or when the user is logged in via VPN.

    What do you use for DHCP?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I think what you're looking for may be Network Access Protection. This however is not a feature of UTM and you may have to implement it in Windows environment.
    I haven't played with it much myself, so I don't even know if it's possible to link users to devices with it.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • 0
    The UTM is doing DHCP.

    I'm a little surprised that it seems what I'm asking for is so hard and not built into a box that is so secure.  If everything is just password protected, doesn't that require an insane amount of trust that the users won't just share passwords and let on those that shouldn't be on?

    The students will be coming into school with at least as many phones/tablets as PC's and even then, a bunch of the laptops are Macs.  So any control that just handles the IP addresses of the PC's only touches about a third of the problem.

    Marvin
  • 0
    Are you trying to do this all yourself or have you been working with vendor(s), reseller(s), engineering and technical support throughout your evaluation/implementation/aquisition process(es)?
  • 0
    I've got a vendor for which this is his second box he's setting up, and I think ours is further along already than his first.  Right now the vendor is working at integrating our Active directory.  I'm trying to understand what the box can do and trying to understand the principles is it working from.  I would love to have a 10 minute phone conversation with someone who really understood the box to help bridge the gap between what I'm trying to do and how the UTM can get there... or close.  Sales are great listing features.  Tech support can solve details.  But I need to understand the principles and not quite sure where to turn.  Even a slow read of the manual doesn't help with this.

    I've had some help from Sophos support. They are helpful, but in very singular and focused ways.  They seem to have trouble looking at a bigger picture. Just got off the phone with a sophos engineer, trying to get my firewall rule block a MAC address.  It is showing up in the log as dropped, but the device can still surf.  Got referred to an article that I'll go through now...

    Marvin
  • 0
    I would love to have a 10 minute phone conversation with someone who really understood the box to help bridge the gap between what I'm trying to do and how the UTM can get there... or close. Sales are great listing features. Tech support can solve details. But I need to understand the principles and not quite sure where to turn.
    What you want at Sophos is Professional Services.  You purchase a block of time (if I recall correctly, it's in 2 hour increments) and they will discuss setup and design, and even do the configuration for you if you wish.  You can get setup with them through sales or support can pass on a message to them for a callback.

    I've had some help from Sophos support. They are helpful, but in very singular and focused ways. They seem to have trouble looking at a bigger picture. 
    Support is break-fix only, so that is the extent of their training and knowledge.

     trying to get my firewall rule block a MAC address. It is showing up in the log as dropped, but the device can still surf.
      If you are using the Web Filtering Proxy, it has control over surfing (port 80, 443, 8080, and a few others) and firewall rules will not have an effect.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    But I do agree that the dualism between the way the Firewall looks at packets and the way the Web filter overrides that concept w/o a similar way of handling (e.g. block traffic based on MAC address) is hard to handle and maintain. I would always expect the firewall to be the first to handle a packet, BEFORE it is potentially handed up and over to a WebFilter or any other higher level module.
    I have just one simple requirement to block some IPs of a set of devices in certain timeframes. This requires static IPs for these devices (VERY easy to work around by just picking another free IP on such a device), introducing time-dependant firewall rules with time slots and setting up according web filter policies. It would be so much more easy and stable to just have those devices blocked by the firewall in the first place based on their MACs.
    Regards, habitoti
  • 0
    @habitoti:  Best I can do is send you to the feature request site. UTM (Formerly ASG) Feature Requests: Hot (2284 ideas).  This is a user-to-user forum, as such nobody here has any say or input into design decisions other than that.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Unfiltered HTML