جلوگیری از اتصال سیستم جدیدبه شبکه

[amf64]

ما یه شبکه داریم که یه تعداد کامپیوتر مشخص توی اسن شبکه هستن فرض رو بر این بگیرید که تو این شبکه فقط از سوئیچ استفاده میشه
حالا من به عنوان مدیر شبکه می خوام جلوی اتصال هر سیستم دیگه ای غیر از سیستمهای مورد تایید رو بگیرم
یعنی مثلا اگه یه نفر یه لپ تاپ آورد و وصلش کرد به شبکه داخل شبکه شناخته نشه و امکان تبادل دیتا نداشته باشه

---

موضوعات مشابه:

• اتصال به اینترنت از طریق کامپوتر دیگر در شبکه 2 سیستمی
• اتصال سیستم ها به هم در ESXI 5.1
• ( نصب os میکروتیک ) و اتصال با یک سیستم دیگه
• نحوه اختصاص آی پی به سیستم ها از سیستم خودم
• ::. اتصال یک سیستم به شبکه ازطریق adsl ..::

---

[aliafzalan]

سلام
به عنوان راه اول اول شما میتونید از MAC Filtering سوئیچ استفاده کنید (البته امنیت خیلی بالایی نداره، اگه کاربر با شبکه آشنایی خوبی داشته باشه، میتونه لپ تاپش را به شبکه متصل کنه)
راه حل دوم، استفاده از dot1x در سوئیچ هست که البته پیاده سازی اون نسبت به اولی زمان بیشتری میبره . . .
راستی سوئیچ شما manageable هست؟

[it-eng]

سلام.
مدل سوئیچ چیه؟manageable هست؟

[amf64]

مدل سوئیچ micronet sp616ea هست
managable هم نیست .
نمی دونم منظورتون از توضیح بیشتر چیه
اما کلا فرض کنید شبکه ای داریم با 10 سیستم که نمی خوایم اجازه بدیم هیچ سیستم دیگه ای بتونه وارد شبکه بشه حتی اگه به کابل شبکه دسترسی داشته باشه

[aliafzalan]

اگر که سوئیچ شما manageable نباشه، بعید میدونم بشه کاری کرد.
تنها راه اینه که کاربرها باید به طور فیزیکی کنترل بشوند! یعنی هیچ کسی اجازه ورود لپ تاپ به شرکت را نداشته باشه . . .

[ARM]

عدم تخصیص IP به مک آدرس خاص

[al1p0ur]

همونجور که دوستان فرمودند اگه سوئیچ معمولی دارید ، نمیشه این مورد رو کاری کرد .
اما یه بیراهه وجود داره : با برنامه نویسی
اگه برنامه نویسی بلدید بفرمایید تا راهش رو بهتون بگم .

[dabbeh]

در این مواقع با امکاناتی که شما برخوردارید رو به امنیت فیزیکی میآورن معمولا که راه ساده ای است مخصوصا در یک شبکه work group مثلا سویچ را داخل رک قرار میگیرد.

[key-one]

منم در گیر این مورد هستم چند روزه

نمیدونم توی گروپ پالیسی میشه کاری کرد یا نه؟

[mahyar49]

در این مواقع با امکاناتی که شما برخوردارید رو به امنیت فیزیکی میآورن معمولا که راه ساده ای است مخصوصا در یک شبکه work group مثلا سویچ را داخل رک قرار میگیرد.

اگه از پشت کامپیوتر کابل شبکه رو درآوردن و وصل کردن چی؟

منم در گیر این مورد هستم چند روزه

نمیدونم توی گروپ پالیسی میشه کاری کرد یا نه؟

میشه تعریف کرد که فقط domain admins کامپیوتر بتونن به شبکه join کنن
domain guest غیرفعال باشه
پرمیژن شیر برای کاربر مهمان deny باشه
و...
اینطوری تا حدودی می توان از فایل ها محافظت کرد ولی برای جلوگیری از اسنیف کردن اطلاعات و... باید فکر دیگه ی کرد

[key-one]

اگه داخل شبکه بتونی از فیلتر بر اساس مک آدرس محدودیت بوجود بیاری امنیت داری و گرنه نمیشه

مگه اینکه از سویچ با قابلیت کانفیگ استفاده کنی و اونم چند خط دستور داره و پورتهای مورد نظر رو از نظر مد تحت مک قرار میدی

[sasani]

شما می تونی یک کار دیگه هم بکنی که البته به سوییچ هم ربط نداره.
می تونی روی همه کامپیوترها ipsec را فعال کنی و ترافیک بین کامپیوترها را رمزنگاری کنی و برای رمزنگاری اطلاعات بین آنها از یک certificate یا preshared key استفاده کنی
در ضمن دسترسی سیستمها به admin را هم ببند تا نتونند certificate را کپی کنند یا pre shared key را ببینند
این جوری اگه یک کامپیوتر دیگه بخواد با این کامپیوتر ها ارتباط برقرار کنه نمی تونه مگه اینکه شما تنظیمات لازم را براش انجام بدی

[dehqani]

با سلام
شما ميتوني براي اين كار بياي تو dhcp براي هر سيستم با mac addres خودش بهش اي پي بدي و رنج اي پي هاي scope رو دقيقا به اندازه تعداد كلاينت ها اونم با mac addres خودشون بدي . يعني براي هر كلاينتي يك اي پي رزرو كني بنابر اين وقتي سيستم جديد(لب تاپ) وارد شبكه ميشه dhcp نميتونه اي پي بده و بدون اي پي هم لب تاپ نميتونه به شبكه جوين بشه.

[zariny1353]

اگه مساله امنیت تا این حد بالاست که راه حل های دوستان مورد رضایت شما نیست باید دل و به دریا بزنی و یه سوییچ managable بخری.به این ترتیب میتونی واسه هر پورت تعریف کنی که فقط یه device خاص coonnect بشه.

[HP-SERVER]

همونجور که دوستان فرمودند اگه سوئیچ معمولی دارید ، نمیشه این مورد رو کاری کرد .
اما یه بیراهه وجود داره : با برنامه نویسی
اگه برنامه نویسی بلدید بفرمایید تا راهش رو بهتون بگم .

من یه چیزایی بلدم
میشه بفرمائید