Może trochę NTG, ale spróbuję. Chciałbym zabezpieczyć sieć i to na
wysokim poziomie. Nie wiem z czym to sie je. Większość stacji
roboczych to windowsy.
Wiem że mam do wyboru kilka rzeczy, VLan, IPSec, DMZ, firewalla czy
protokół 802.1x .
Patrząc na ofertę w sklepach nieco bardziej rozbudowane switche
zawężają się do firm CISCO, D-LINK ZyXel czy
No i teraz co wybrać? Nie bardzo wiem się czym kierować. Kryterium ?
Ma być bezpiecznie. Czyli IPSec i 802.1x . Żadnego z nich nie
odpalałem więc nie wiem jak bezpieczny jest np. sam 802.1x . Nie wiem
czy wystarczy jeden taki switch i przed nim mogą być wcześniej wpięte
zwykłe.
Widzę że przy CISCO są jakieś licencje na użytkowników.
Zastanawiam się jak działa opcja 8 VLANOW na 5 portowym switchu.
Zresztą proszę o nakierowanie ceny są wyjątkowo rozrzucone.
Linksys, 3Com.
>
> No i teraz co wybrać? Nie bardzo wiem się czym kierować. Kryterium ?
> Ma być bezpiecznie. Czyli IPSec i 802.1x . Żadnego z nich nie
> odpalałem więc nie wiem jak bezpieczny jest np. sam 802.1x . Nie wiem
> czy wystarczy jeden taki switch i przed nim mogą być wcześniej wpięte
> zwykłe.
Co chcesz osiągnąć? Bo na razie dałeś kilka terminów i nic więcej. Jakie to ma być bezpieczeństwo?
Co chcesz chronić? Przed czym?
wer
> Może trochę NTG, ale spróbuję. Chciałbym zabezpieczyć sieć i to na
> wysokim poziomie. Nie wiem z czym to sie je. Większość stacji
> roboczych to windowsy.
Poszukalbym kogos, kto sie tym zajmuje od lat. W przeciwnym przypadku
to bedzie co najwyzej zludzenie.
Alternatywnie mozna oczywiscie zaczac zdobywac wiedze samemu, ale to
krocej niz kilka lat pewnie nie potrwa.
> Wiem że mam do wyboru kilka rzeczy, VLan, IPSec, DMZ, firewalla czy
> protokół 802.1x .
Nie "do wyboru". Z tych rozwiazan korzysta sie w konkretnych celach,
to nie jest tak, ze mozna sobie cos wybrac i bedzie dobrze.
> Patrząc na ofertę w sklepach nieco bardziej rozbudowane switche
> zawężają się do firm CISCO, D-LINK ZyXel czy
Slyszalem tez o innych firmach, aczkolwiek D-Link i ZyXel to raczej
takie slabo rozbudowane urzadzenia chyba produkuja.
> No i teraz co wybrać? Nie bardzo wiem się czym kierować. Kryterium ?
> Ma być bezpiecznie.
Najpierw nalezaloby ustalic jaka to jest siec (Ethernet, wifi itd),
oraz jakie sa potencjalne zagrozenia.
> Czyli IPSec i 802.1x . Żadnego z nich nie
> odpalałem więc nie wiem jak bezpieczny jest np. sam 802.1x .
Podejrzewam ze tu jest nieprzydatny.
IPSec moglby pewnie rozwiazac problemy z atakami w warstwie sieci.
> Nie wiem
> czy wystarczy jeden taki switch i przed nim mogą być wcześniej wpięte
> zwykłe.
Kwestia zagrozen.
> Zastanawiam się jak działa opcja 8 VLANOW na 5 portowym switchu.
W zyciu nie uzywalem 5-portowego switcha z VLANami, najmniejszy mial
chyba 12 portow. Ale teoretycznie moze chodzic o ilosc obslugiwanych
VLANow w trunku np. 802.1Q, zakladajac oczywiscie ze ten switch cos
takiego w ogole potrafi.
--
Krzysztof Halasa
> Może trochę NTG, ale spróbuję. Chciałbym zabezpieczyć sieć i to na
> wysokim poziomie. Nie wiem z czym to sie je. Większość stacji
> roboczych to windowsy.
>
> Wiem że mam do wyboru kilka rzeczy, VLan, IPSec, DMZ, firewalla czy
> protokół 802.1x .
> Patrząc na ofertę w sklepach nieco bardziej rozbudowane switche
> zawężają się do firm CISCO, D-LINK ZyXel czy
Określ swoje potrzeby a dopiero później szukaj produktu. Zaczynasz
od złej strony.
Jeśli chodzi o zabezpieczenie tylko tradycyjnego ethernetu
"kabelkiem", to masz do czynienia po kolei:
a) szyfrowanie samego Ethernetu - technologia wchodzi w DC, szansa
zastosowania tego w takiej sieci jak Twoja - 0%
b) uwierzytelnienie sesji a następnie jej ewentualnie szyfrowanie,
jeszcze w L2 - czyli architektura 802.1x; w jej ramach możesz
uwierzytelnić maszynę, użytkownika, przypisać go do konkretnego
VLANu, nadać ACLkę która filtrować będzie ruch z/do jego
stacji, nadać politykę QoS, etc
c) teraz dopiero zaczyna się warstwa IP - tutaj możesz po takim
'link up' w L2, poprosić o adres IP, a po poproszeniu o IP -
nie wpuścić do swojej sieci żadnego ruchu poza IPsec - innymi
słowy, wymuszasz wynegocjowanie tunelu IPsec (lub SSL) do
domyślnej bramki i w tunelu VPN nałożyć na klienta kolejne
ograniczenia - ACL, QoS, etc.
Wszystkiego powyżej nie zrobisz na jednym urządzeniu "z półki",
pytanie jak dużo będziesz chciał grzebać a później jak długo
utrzymywać póki nie zniechęci Cię rozwiązywanie problemów.
Dla ułatwienia - większość żądnych "bezpieczeństwa naprawdę
wysokiej klasy" kończy w okolicach wdrożenia 802.1x z dynamicznym
przydziałem do VLANu. Niektórzy dochodzą do przydziału ACLek
do filtrowania ruchu i QoS.
Bardzo rzadko kończy się *dodatkowo* na wymuszaniu IPsec, choć
czasami stosuje się to zamiast 802.1x w L2.
> No i teraz co wybrać? Nie bardzo wiem się czym kierować. Kryterium ?
> Ma być bezpiecznie. Czyli IPSec i 802.1x . Żadnego z nich nie
> odpalałem więc nie wiem jak bezpieczny jest np. sam 802.1x . Nie wiem
> czy wystarczy jeden taki switch i przed nim mogą być wcześniej wpięte
> zwykłe.
> Widzę że przy CISCO są jakieś licencje na użytkowników.
Wszystko da się zrobić, pytanie jak głęboko chcesz wejść. Powyżej
masz listę. Gdzie kończy Ci się chęć "bezpieczeństwa"?
> Zastanawiam się jak działa opcja 8 VLANOW na 5 portowym switchu.
> Zresztą proszę o nakierowanie ceny są wyjątkowo rozrzucone.
Pozwolę sobie na małą przypowiastkę. Przypowiastka jest autentyczna i
choć dotyczy "tylko" kupowania przełącznika, doskonale oddaje
analogię do Twojego "kupowania bezpieczeństwa".
Przy kasie pojawia się klient ze smutną miną i przełącznikiem w
rękach.
- Poproszę taki przełącznik. Ten się spalił.
- Takiego nie mamy, mamy inne [i tu lista modeli, firm i
funkcjonalności]
- Niech pan da najprostszy i najbardziej podobny do tego który mam.
- Z warstwą drugą czy trzecią?
- Wystarczy mi trzecia.
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net