Întrebări pe care ni le punem de mult

AdrianB1, un scenariu care-mi vine in minte. Trei computere A, B, C. Luam sa zicem Ping. Vreau ca C sa nu raspunda la ping decat la A, nu si la B iar A si B sa raspunda de oriunde la Ping.
Treaba asta o pot face foarte bine dintr-un firewall pe masina C in care specific sa nu raspunda la ping de la masina B. Dar daca in loc de 3 computere am 250, treaba se impute sa fac pe fiecare computer in parte setari in firewallul personal.
Am ales serviciul Ping aleator, poate pe masina C am un server http si vreau sa fie accesibil doar masinii A pentru a bloca din fasa accesul lui B la paginile hostate acolo fara sa-mi fac probleme ca fura parola sa zicem.

De aici mi-a venit si ideea unui firewall centralizat pe un server. Practic statiile isi iau regulile de firewall de pe server (asemeni regulilor userilor de domeniu) iar adminul isi poate administra centralizat regulile cum computerele fac trafic in retea.
 
Pai daca tu vrei un set de reguli intre statiile X si Y, altul intre X si Z si tot asa nici firewall-ul centralizat nu te ajuta. Tot o sa ai de facut zeci de reguli doar ca nu o sa le faci un set pe fiecare statie o sa faci toat seturile pe un server. Sunt firewall-uri de genul asta, McAfee stiu ca are asa ceva (l-am folosit, dar nu la nivelul asta de complexitate).
Nu ai de facut decat sa creezi grupuri si sa faci un set de reguli pe fiecare grup. Problema apare daca tu vrei reguli diferite pe prea multe statii, adica ajungi sa ai prea multe grupuri.
 
Eu problema mi-am pus-o ca dintr-un lan de 200 de statii, sa pun reguli specifice doar la 10-15, restul sa aiba regulile de baza.
 
Acum rabdare si tutun, ca daca vrei sa blochezi chiar si pe 15 statii doar anumite protocoale, porturi, whatever o sa ai de lucru la regulile alea.
 
Ideea e cum se poate. Nu cat de dificil este. Evident, daca stie cine solutii mai eficiente ca timp si bani, e si mai bine.
 
Cred că dacă ai o nevoie specifică se pot găsi variante mai bune decât la întrebarea teoretică "cum fac să bibilesc orice comunicație între orice și oricine". Soluția la întrebarea teoretică e sigur mai complexă decât cazul real pentru că trebuie să răspundă oricărei variante de caz real. E ca și cum ai vrea să inventezi medicamentul care vindecă orice boală vindecabilă în mod curent.
 
hulubei, ce nu-i ok la solutia switch cu management, pe care, daca bine imi dau io seama, poti seta ACL-uri per port?
 
Pai daca a inversat doua cabluri in switch s-a dus pe apa sambetei toata configurarea. Si in cazul in care ai nevoie sa cascadezi switchurile ajungi sa iti bati cuie in coa*e. :biggrin:
 
Cred ca nu m-am exprimat destul de clar. Nu ma refeream la o bucla, aia se face in orice switch daca insisti un pic, ci la metoda prin care se implementeaza securitatea.
Port-based ACLs for Layer 2 interfaces allow application of security policies on individual switch ports.
Eu inteleg ca ACL-ul se face per port, nu ceva global per IP. Sa faci astfel de configurari pe fiecare port pentru mai multe switchuri (cascadate sau nu) nu e prea comod. Si o modificare in arhitectura fizica a retelei impune alte configurari. Mai exact, un switch va avea o configurare a ACL-ului pe un port la care e conectata statia A. Ai impus blocarea traficului de la IP-ul/MAC-ul sursa al statiei B catre acest port - implicit catre A. Ce se intampla cand in portul asta vei conecta statia Q in locul lui A?

Este incomparabil mai simplu sa creezi cateva reguli software si sa le aplici diverselor grupuri de statii. Operezi cu cateva clickuri adaugarea, stergerea, editarea statiilor sau regulilor si cand vine vorba de extinderea retelei sau schimbarea echipamentelor/switchurilor nu ai nevoie de nici o configurare suplimentara.

Nu stiu de cate statii e vorba, dar sunt sanse mari sa si coste mult mai putin solutia software decat cea care presupune 3-4 (cel putin) switchuri de genul asta. 2960 pleaca de la 3000lei pentru varianta cu 24 porturi. E rentabil daca ai cu adevarat nevoie de feature-urile switchului asta. Altfel platesti o carca de bani si il folosesti la o zecime din potential. Adica tichie de margaritar.
 
În măsura în care ălora 10-15 li se aplică aceleaşi reguli, le bagi pe toate în grupul de care zicea bausto mai sus. Sau într-un alt VLAN faţă de restul.

Dacă nu, iacă, faci un grup pentru fiecare staţie cu setări specifice. Sau configurezi fiecare port din switch.
 
Apoi tii o evidenta stricta a conexiunilor statie-port ca nu cumva sa o comiti daca faci mutari :biggrin:. Ca o iei de la capat cu munca.

hulu, ce-ti place tie sa lasi lumea sa faca brainstorming inutil pe-aci in loc sa spui si tu cate statii ai in retea (aproximeaza grosso modo) si cam cum e structurata. :biggrin:
Vrei neaparat solutia aia teoretica cea mai generala, care cuprinde mai toate cazurile posibile dar care nu se potriveste ca o manusa pe nici unul.
 
De fapt nu are o nevoie practică, se plictisește și are o înclinație spre cunoaștere.

Lai, sari cu mai multe poze, hulubei se plictisește.
 
bausto, AdrianB1 a intuit. Probabil discutiile private cu el au relevat mai bine persoana mea astfel incat el ma cunoaste mai bine. Spre exemplu, cand sunt pe drum din punctul A in B si nu exista nimeni sa ma tina de vorba, visez.
Am de ales la ce sa visez: la cai verzi pe pereti din care o parte apar pe blog, sa ma gandesc la nemurirea sufletului si filosofia lumii (si ma trezesc ca aproximez babeste teoria relativitatii sau alte nebunii), sa o dau in chestii deprimante sau sa dau in altele, sa zicem tehnice. Uneori imi mai vin in minte idei generale de natura tehnica.
Ideile generale le putem pune intr-un scenariu, putem inventa. Dar avand in vedere ca nu am nevoie concreta (poate nu azi sau maine), nu are rost zic eu sa vin cu un scenariu apropiat de situatia reala. Astfel las oricui loc de manevra sa creeze propriul scenariu in care sa poata explica situatia.

In cazul de fata nu stiu daca mi-a scapat sa mentionez, in cap aveam o retea cu sa zicem, 250 de statii. Din ele, doar pentru 15 vreau sa am reguli speciale, nu musai reguli identice pentru fiecare din cele 15 astfel incat sa mai fac doar un grup suplimentar. Ci setari individuale. Situatia poate fi ori ca cele 15 sa aiba inhibate niste drepturi, ori chiar opusul, cele 15 sa aiba niste drepturi suplimentare (sa zicem ca exista un server http care contine un forum si vreau ca acest forum sa fie accesibil doar anumitor utilizatori din retea, dar vreau orice incercare de acces la resursa sa faca drop la pachete dinainte sa plece de la statia care nu are voie - poate banuiesc ca am mici hackeri in retea).

Un alt motiv pentru care as vrea un firewall cu administrare centralizata ar fi acela de a putea propaga reguli noi in toata reteaua. Si aici nu ma refer doar la regulile pentru Internet ci si cum se comporta computerele in retea (poate mi se scoala fara un motiv practic azi sa dau voie la PING in toata reteaua si maine toate computerele sa nu mai raspunda). Ori poate apare un troian/virus/vierme in retea sau doar un bug in vreo aplicatie care face nabadai care imi strica traficul prin retea pe un port care doresc sa-l inchid.
Inca o data, nu am un caz concret, pe care sa-l aplic acum, dar cum spunea si Adi, uneori am "o înclinație spre cunoaștere" si poate fi practica atunci cand ai nevoie concret de asa ceva si stii de unde sa pleci macar.

Ma lungesc la vorba si pierd coerenta cred.
Va multumesc oricum tutror.
 
Back
Top