راهکارهای جدا سازی شبکه داخلی از اینترنت

**mahdi12** · 2012-06-22, 07:10 PM

با سلام و احترام
لطفا نظرات خودتونو در مورد نحوه جداسازی اینترنت از شبکه داخلی بیان کنید .
توضیحات )
- می دونید که قانون شده که کلیه ادارات و سازمان های دولتی موظف به جدا سازی اینترنت از شبکه داخلی (اتوماسیون) شدند.
- حال با توجه به نیاز برخی از بخش ها به اینترنت و ممنوعیت دسترسی ارائه راهکار از سوی مسئولین فناوری اطلاعات ضروریست.
- استفاده از دو رایانه با دو بستر شبکه متفاوت نیز از نظر اقتصادی به صرفه نیست.
- متاسفانه دولت نیز سازو کاری ذیل بخش نامه در این زمینه ارائه نکرده .

- - - Updated - - -

استفاده از دو هارد و یک سوئیچ هم راهکاری هست که می شه بهش فکر کرد.
اما در این صورت هم باید دو شبکه مجزا (دو کابل یا دو وایرلس) داشت و برای سیستم عامل های هر هارد یکی را تعریف کرد.

- - - Updated - - -

این هم دوستان پیشنهاد دادن:
چند سیستم یک جایی درون اداره وصل به اینترنت باشه و هرکی خواست استفاده کنه بره اونجا (مثل کافی نت)
البته همین الان که می ری تو یه اداره هیشکی پشت میزش نیست . خدا رحم کنه این سیستم راه بیافته

موضوعات مشابه:

**mohamad-23** · 2012-06-22, 08:14 PM

به هرحال مهم تر از همه END DEVICE ها هستند ... دقیقا میشه چیزی که من توی یکی از ادارات وزارت نفت دیروز دیدم ....
توی هر اتاق یک سیستم جدا گذاشته بودن که اینترنت داشت ... و سیستم افراد اینترنت نداشت ...
حالا اینجوری که من پرس و جو کردم نیازی به بستر فیزیکی کاملا جدا نیست ... با همین بحث Vlan پیاده سازیش کرده بودند ...

**maaziyar** · 2012-06-22, 09:10 PM

به من پیشنهاد شده بود که جدا سازی کنم با هزینه معقول تری این کار رو انجام دادم برای هر کامپیوتری که اجازه داشت به اینترنت وصل شه کارت شبکه وایرلس گذاشتم و اکانتینگ ، اینترنت رو وایر نبود فقط رو اکسس پوینت پس حتماً کارت شبکه هم نیاز داشت در ضمن یوزر و پس هم میخواست و در ضمن مک ادرسس هم فعال بود یعنی کسی با ست کردن یوزر پس رو گوشی یا لپ تاپ باز هم وصل نمی شد کسی هم که اینترنت نباید داشته باشه که رو وایر اتوماسیون داشت دیگه

**1qaz2wsx** · 2012-06-22, 09:17 PM

اگه قانونتون این باشه که شبکه به طور فیزیکی مجزا باشه که هیچی، اگه نه VPN و Vlan از گزینه هایین که میشه استفاده کرد

**th95** · 2012-06-22, 09:49 PM

تجربه من در برخی ادارات (حتی خصوصی) و البته بیشتر محیطهای نظامی نشون داده که به هیچ چیزی غیر از فیزیکی راضی نیستند
تازه جدا شدن فیزیکی هم بعضا راضیشون نمیکنه ! من موردی داشتم که طرف میگفت آقا چرا کابلهای لن و اینترنت از یک داکت رد شدند !! اثر القایی این بر اون رو میشه با فلان راهکار کپچر کرد و از این دست داستانها
من پیشنهاد میکنم اگر جایی هستید که گیر زیاد میدن شما هم فیزیکی جدا کنید و سیستمهای جدا برای اینترنت بذارید خیال خودتون رو راحت کنید.
راه حلهای منطقی زیادی هست، دادن اینترنت روی سرور اما از پشت سیستم خود کلاینت (RemoteApp) یا Vlan بندی یا ... که همه ماشا.. تو فوروم استادن

- - - Updated - - -

نوشته اصلی توسط maaziyar

به من پیشنهاد شده بود که جدا سازی کنم با هزینه معقول تری این کار رو انجام دادم برای هر کامپیوتری که اجازه داشت به اینترنت وصل شه کارت شبکه وایرلس گذاشتم و اکانتینگ ، اینترنت رو وایر نبود فقط رو اکسس پوینت پس حتماً کارت شبکه هم نیاز داشت در ضمن یوزر و پس هم میخواست و در ضمن مک ادرسس هم فعال بود یعنی کسی با ست کردن یوزر پس رو گوشی یا لپ تاپ باز هم وصل نمی شد کسی هم که اینترنت نباید داشته باشه که رو وایر اتوماسیون داشت دیگه

در چنین شرایطی که حرف و حدیث زیاد میارن که البته بعضا بی راه هم نمیگن
فرض کن من از رفیقم پسورد رو گرفتم یا اسنیف کردم یا اصلا شما مک رو برای یک سری دستگاه ها باز گذاشته بودی اما من مک رو عوض کردم

پس راه هست !
ببینم مک اون سیستمی که اینترنت داره چیه واسه خودم رو عوض کنم بذارم اون (اگه ادمین سیستمم باشم یا برنامه های لینوکسی فراوان یا ...)
در خصوص ارتباطش هم که یک وایرلس یو اس بی 30 تومنی میزنم به سیستم و تموم
یا اصلا به رفقیم میگم از میان هزاران راهی که وجود داره یکیش رو انجام بده و اینترنتش رو شیر کنه من هم روی همون کابل بگیرم و ...

میخوام بگم این داستانها بحث برانگیز و ادامه داره
شاید خیلی جاها کلا پاک کنید صورت مساله رو و فیزیکی جدا کنید بسترها رو اونهم با کلی ملاحظات راحت تر باشه (اگر دیدید طرف خیلی سخت میگیره)

**mahdi12** · 2012-06-22, 10:05 PM

نوشته اصلی توسط 1qaz2wsx

اگه قانونتون این باشه که شبکه به طور فیزیکی مجزا باشه که هیچی، اگه نه VPN و Vlan از گزینه هایین که میشه استفاده کرد

نه . فکر نکنم اونقدر ها هم تاکید داشته باشن فیزیکی باشه. فقط یه جوری قابل هک نباشه
میدونید که برای راه حل های نرم افزاری همیشه یه راه نفوذ هست .
من دنبال یه راه حل ترکیبی می گردم که نه نیاز به بستر کاملا مجزا باشه نه امکان هکش وجود داشته باشه

**Hakimi** · 2012-06-23, 03:15 PM

نوشته اصلی توسط mahdi12

نه . فکر نکنم اونقدر ها هم تاکید داشته باشن فیزیکی باشه. فقط یه جوری قابل هک نباشه
میدونید که برای راه حل های نرم افزاری همیشه یه راه نفوذ هست .
من دنبال یه راه حل ترکیبی می گردم که نه نیاز به بستر کاملا مجزا باشه نه امکان هکش وجود داشته باشه

دستوری که به سازمان ها و نهادهای دولتی داده شده، جداسازی فیزیکی بستر شبکه داخلی و شبکه اینترنت است.
دلیلش هم همانی است که خودتان اشاره کردید. راه حل های نرم افزاری نمی توانند به صورت صددرصد اطمینان ایجاد کنند.

**pardazande** · 2012-06-23, 05:47 PM

من خودم خیلی دنبال این موضوع بودم
بحث جداسازی فیزیکی در شبکه تقریبا مثل پاک کردن صورت مسئله س . نظر شخص خودم اینه که توی بالادستی هامون یه ترس بیش از حد مشغولشون کرده.
من جاهایی رو دیدم که طرف سه تا تین کلاینت گذاشته و یکی برای اینترنت ، یکی برای شبکه داخلی و یکی هم برای اینترانت . واقعا تعجب برانگیزه
شما هرکاری بخواین بکنین بالاخره کسی که بخواد توی مجموعه اذیت کنه اذیت میکنه و همه چی خراب میشه . اکثر دوستانی که مدیریت فناوری اطلاعات در مجموعه هاشون رو بر عهده دارن میدونن که بیشتر بار اطلاعات سمت سروره نه کلاینتها .
مطمئنا با قوی تر کردن فایروالها و همچنین قراردادن سرورهای حساس در یک فضای امنیتی مجازی و ایجاد رولها و مانیتورینگ لحظه ای آنها میشه خیلی بهتر از جداسازی فیزیکی کار کرد.
اگه دیزاین شبکه استاندارد باشه
اگه ساختار تجهیزات امنیتی کامل باشه
اگه سرویسها و پورتهای باز و بسته روی سیستم هامون مشخص باشن و مدیریت بشن
اگه .....
اون هزینه ای رو که برای جداسازی فیزیکی بخوایم بدیم اگه بزاریم رو بحث امنیت و پروتکل های ارتباطی سرورها خیلی بهتر و مفید به فایده تره .

البته انجام همه اینها و مدیریتشون کار خیلی راحتی هم نیست

یا علی

**modares** · 2012-06-23, 06:24 PM

با سلام
بهترین راهکار قطع ارتباط فیزیکیه طوری که دو شبکه کاملا مجزا و دو سیستم کاملا مجزا نیاز داره
حتی فایل و فلش هم نباید روی دو سیستم جابجا بشه
مثلا اگه شما یک فلش دارید که روی سیستم اتوماسیون داخلی و سیستم اینترنت جابجا می کنید در صورتیکه ویروس طوری نوشته شده باشه که در همون جایی که کپی میشه (مثل روی فلش) اطلاعات رو جمع آوری کنه و زمانی که به اینترنت وصل شد اطلاعات رو بفرسته باز هم هک خواهید شد.
بهترین راه حل قطع کامل ارتباط بصورت کامل و فیزیکیه

**1qaz2wsx** · 2012-06-23, 11:21 PM

نوشته اصلی توسط Hakimi

دستوری که به سازمان ها و نهادهای دولتی داده شده، جداسازی فیزیکی بستر شبکه داخلی و شبکه اینترنت است.
دلیلش هم همانی است که خودتان اشاره کردید. راه حل های نرم افزاری نمی توانند به صورت صددرصد اطمینان ایجاد کنند.

اختصاص هر پورت فیزیکیه یک سوییچ به یک Vlan خاص جدا سازی فیزیکی محسوب نمیشه؟

**msoleimani** · 2012-06-24, 08:51 AM

یه راهش جدا کردن یوزر ها هست ، یعنی به هر کس که اینترنت می خواد دو تا یوزر بدیم ، یکی تو سرور اینترنت داشته باشه یکی نداشته باشه ، و بستن پورت ها و هارد سیستم و ....
و البته خیلی هم قابل اطمینان نیست ، مخصوصا راضی کردن مدیر ها هم سخته ، اما شدنیه .

**mehrzadmo** · 2012-06-24, 09:17 AM

اثر القایی این بر اون رو میشه با فلان راهکار کپچر کرد و از این دست داستانها

اين چقدر صحت داره ؟ واقعا ممكنه ؟

**Hakimi** · 2012-06-24, 09:23 AM

نوشته اصلی توسط 1qaz2wsx

اختصاص هر پورت فیزیکیه یک سوییچ به یک Vlan خاص جدا سازی فیزیکی محسوب نمیشه؟

نه. جداسازی فیزیکی یعنی سوئیچ ها و کابل ها کاملا جدا از هم باشن.

نوشته اصلی توسط msoleimani

یه راهش جدا کردن یوزر ها هست ، یعنی به هر کس که اینترنت می خواد دو تا یوزر بدیم ، یکی تو سرور اینترنت داشته باشه یکی نداشته باشه ، و بستن پورت ها و هارد سیستم و ....
و البته خیلی هم قابل اطمینان نیست ، مخصوصا راضی کردن مدیر ها هم سخته ، اما شدنیه .

بله، راه های مختلفی هست. ولی هیچ کدام صددرصدی نیست.

**All3n** · 2012-06-24, 11:15 PM

به نظر من بالاترین سطح امنیتی را میشه اینطوری در نظر گرفت:
جدا سازی اینترنت از شبکه داخلی توسط 2 تین یا 2 سیستم مجزا
قرار دادن سیستمی جدا در سازمان برای دیدن اطلاعات فلش و هارد
اگر کاربری بخواهد اطلاعاتی را از فلش به سیستم خود منتقل کند اطلاعات توسط admin به شیر کاربر انتقال داده شود.
(در ضمن کابل شبکه داخلی باید در کنار کابل شبکه اینترنت قرار نگیرد)

**als_1360** · 2012-06-25, 07:48 AM

مجازی سازی یکی از روشهایی است که می توان استفاده کرد و باعث می شود هزینه ها بسیار کاهش پیدا کند .

به این صورت که روی یک سرور چند سیستم عامل نصب می کنید و دسترسی اینترنت رو روی آن فعال می کنید .
کاربران برای اتصال به اینترنت کافیه از ریموت دسکتاپ (البته با تنظیمات خاص روی سرور و کلاینت) استفاده نمایند .
در مدل پیشرفته تر می توان از تین کلاینت استفاده کرد و موقع بوت شدن تین سرور مجازی و یا سرور دسک تاپ را انتخاب کرد .

موضوع: راهکارهای جدا سازی شبکه داخلی از اینترنت

پیوند

ابزارهای موضوع

نمایش

راهکارهای جدا سازی شبکه داخلی از اینترنت

کلمات کلیدی در جستجوها:

جداسازی اینترنت از شبکه داخلی

برچسب برای این موضوع

مجوز های ارسال و ویرایش