הגדלת הרשת בארגון

[Moty_p]

שלום לכם..

אני רוצה להגדיל את הרשת שלי בארגון אבל אני חושש מפני התחברות של אנשים לא מורשים אשר יתחברו ויקבלו גישה למשאבים שבה

חשבתי לעצמי האם זה אפשרי לחסום את המחשבים שאני לא יאשר מראש את הכתובות המק-אדרס שלהם?

עדיין אין לי רכזת מנוהלת אבל אני ארכוש כזאת אם יהיה בכך צורך

לרכזת המנוהלת יהיה מחובר רכזות לא מנוהלות..

[e10hs]

בתור התחלה, אתה חייב רכזת מנוהלת...

שנית, אני לא בטוח שתוכל לעבוד עם רכזות לא מנוהלות, אבל בנושא הזה קטונתי.

[summer69]

אין בעיה תשחבר רכזת לא מנוהלת אל רכזת מנוהלת בשביל להרחיב את כמות ports.

אבל אתה צריך רכזת מנוהלת בשביל להתחיל להגביל כתובות Mac.

[multicore]

בשביל access control:

https://www.google.com/search?hl=en&q=open+source+nac

מה בדיוק אתה "מרחיב" ברשת שלך?

[Moty_p]

יש דרישה להוציא את התשתית של הרשת מחוץ לארגון על מנת לחבר access point ונקודות גישה אזוריות מקומיות

כמובן שזה סיכון מפני חדירה של אנשים לא מורשים

כשלב ראשון על איזו רכזת מנוהלת אתם ממליצים לי לרכוש? אני מעדיף רכזת עם לפחות 8 פורטים שתומכת ב 10\100\1000 (גי'גה)

תודה לתגובות שלכם

עריכה

יש לי שאלה חשובה נוספת:

האם זה אפשרי לתת הרשאות לחייגן המשותף רק למשתמשים שחברים בDC ונמצאים בקבוצה ספציפית שיצרתי?

[multicore]

עדיין לא הבנתי מה פה "מחוץ לארגון"?

בשביל access control אתה לא צריך מתג מנוהל, אלא לפתרון NAC. כנ"ל לגבי גישה למשאבים.

[Moty_p]

אתה יכול להסביר על פתרון NAC? ומה זה בכלל?

בגדול.. התשתית (הכבל רשת של הארגון שעליו מחובר השרת אינטרנט DHCP וכו') הולך לצאת מחוץ הבניין של הארגון

ועליו הולך להיות מחובר רכזות לא מנוהלות כך שכל אחד יכול לחבר פשוט כבל רשת לרכזת ולהתחבר לרשת של הארגון

מה שאני רוצה למנוע על ידי הוספת כל הכתובות ה Mac של הלקוחות ולהביא רק להם אישור להתחבר לרשת

כנ"ל לגבי התקשורת האלחוטית רק מי שיהיה מאושר במערכת יהיה יכול להתחבר לרשת

חוץ מזה יש כמה משרדים בארגון שהמזכירה שם נכנסת לאינטרנט כל הזמן ואני מקבל על כך תלונות

אז חשבתי לפתוח קבוצה בDC שרק מי שהיה חבר בקבוצה יהיה יכול לקבל גישה לאינרטנט של הארגון (גישה לחייגן המשוטף)

האם זה אפשרי?

[multicore]

חתיכת סלט עשית פה...

אתה מגדיר התרחבות של רשת בתור כבל שיוצא החוצה?

אתה רוצה אימות? תבצע על בסיס מנגנון AAA אמין. בחיים לא שמעת עד כמה Mac spoofing פשוט ומהיר?

תשים שרת RADIUS/TACACS+ או אפילו RAS של Windows server ותרכז את האימות לשם.

כנ"ל לגבי גישה לאינטרנט.