جداسازی بستر شبکه اداری از اینترنت

[pardazande]

سلام به همگی
از اساتید محترم خواهشمندم که منو راهنمایی کنن چطوری میشه و با چه راههای امکان داره که بشه بستر اینترنت رو از شبکه داخلی سازمان جدا کرد
احتمالا دوستان میدونن طبق بخشنامه ای که به اکثر سازمانها ارسال شده میبایست بستر شبکه داخلی رو از شبکه اینترنت جدا کرد
ممنون میشم تجربه هاتون رو داشته باشم.
مطمئنا دغدغه و مشکل اکثر دوستان به این موضوع هم ربط داره
با سپاس فراوان

---

موضوعات مشابه:

• راه اندازی پروتکل sip از روی بستر امن در استریسک
• نحوه را اندازی اینترانت بین استانی بر روی بستر adsl
• فعال سازی اینترنت در بستر اینترانت
• مشکل شبکه کردن بازی کانتر استریک
• ارتباط دفاتر نمایندگی در شهرستانها با دفتر مرکزی

---

[arminvox]

سوالتون رو باید با ذکر جزئیات بیشتر مطرح کنید و بگید که در حال حاضر یوزر هاتون با چه Policy از اینترنت استفاده می کنند و ...
یکی از اقدامات مهم اینه که شما در روتر خودتون برای رنج نتورک سازمانتون Route تعریف کنید .

[pardazande]

سوالتون رو باید با ذکر جزئیات بیشتر مطرح کنید و بگید که در حال حاضر یوزر هاتون با چه Policy از اینترنت استفاده می کنند و ...
یکی از اقدامات مهم اینه که شما در روتر خودتون برای رنج نتورک سازمانتون Route تعریف کنید .

ممنون از توجهتون
به نظر من که اکثر ادارات سطح کاربر کم یه سری راهکارهای مشابهی جهت ایجاد ارتباط اینترنتی بین کاربراشون دارن
مثلا در حال حاضر سازمان ما اینترنت رو از طریق یه خط اینترنت ADSL و اتصال به سرور آیزا داخل شبکه ساختمان آورده و بین کاربران تقسیم میشه
روتر فیزیکی نداریم
و همه ترافیکی اینترنت و دسترسی کاربران رو از طریق سرور آیزا کنترل میکنیم
شبکه داخلی دومین هستش
سرور آیزا هم عضو دومینه

به نظر شما چه راهکارهایی برای اینکار وجود داره ؟؟؟

اگه اطلاعات دیگه ای هم خواستین درخدمتم
امیدوارم این پست به بقیه دوستان که مشکلی مثل مشکل من دارن کمک بکنه و راهکار مناسبی بتونن پیدا کنن
ممنون

[yogishiip]

به نظر من بهتره در سوییچ 2 تا vlan بنویسید و اونها رو از هم جدا کنید

[al1p0ur]

ممنون از توجهتون
به نظر من که اکثر ادارات سطح کاربر کم یه سری راهکارهای مشابهی جهت ایجاد ارتباط اینترنتی بین کاربراشون دارن
مثلا در حال حاضر سازمان ما اینترنت رو از طریق یه خط اینترنت ADSL و اتصال به سرور آیزا داخل شبکه ساختمان آورده و بین کاربران تقسیم میشه
روتر فیزیکی نداریم
و همه ترافیکی اینترنت و دسترسی کاربران رو از طریق سرور آیزا کنترل میکنیم
شبکه داخلی دومین هستش
سرور آیزا هم عضو دومینه

آیزا خودش شبکه داخلی رو از اینترنت جدا میکنه و نیاز به انجام تغییرات خاص دیگه ای ندارید (البته با این توپولوژی که دارید) .
فقط join کردنش تو دامین به نظر من کار درستی نیست (دلیلش رو هم شما بهتر از من میدونید) و شما بهترین کاری که میتونید انجام بدید از join درآوردن آیزا هستش .

[poorti]

راه کاری های بسیار متفاوتی وجود دارد .. چند مثال :
1.داشتن فایروال سخت افزاری و ارتباط بوسیله PPTP
2.داشتن یک قطعه سخت افزاری مثل (Ezilator-جداکننده) بر روی هر دستگاه
3.راه اندازی یک RDP Server

[zamoova]

سلام

بیشتر نفوذ هایی که میشه تو شبکه های داخلی
بر اساس اعتماد بیشتر و بیش از حد به نرم افزارهای آنتی
ویروس ، و تنظیمات نادرست آنها اتفاق می افته. برای مثال
همین فایر والی که برای جدا سازی اینترنت می خوایین استفاده
کنین ، شاید فکر کنین با تنظیم رول ها همه چی اوکی شده و هیچ
مشکلی نخواهد بود و همه چیز در امنیت کامل خواهد بود ، ولی
چنین چیزی صحت نداره ، ابزاری تحت C نوشته شده که رول های
فایروال ها مخصوصا ایزا رو براحتی ادیت میکنه ، در مورد آنتی ویروس ها
هم وضع همین طوره ، شاید از نظر شما انتی ویروس هایی مثل کاسپر
و نود و... خیلی قوی هستن و تمام ویروس ها رو همون جا ناکارشون میکنن
ولی اینا ویروس های معروف هستند ، یک لوگر تحت C نوشتیم که هیچ انتی
ویروسی نمیتونه شناساییش کنه و....

نکتۀ دیگه ای هم که میخواستم اشاره کنم ، اینه که اگه صدتا ایزا هم نصب کنین
ولی یوزر ناراضی یا بیسواد داشته باشین که یه کلیک روی یه فایل ، یا اتچ میل
بکنه ، صد تا ایزا عملا هیچ خواهد بود. یوزر ها مهمترین ، ضعیف ترین و کنترل ناپذیر ترین
حلقۀ امنیتی هستند. حتما در موردش فکر کنین.

توصیه ای که به شما و تمام مدیران داریم اینه که ، وقتی سناریوی امنیتی
راه میاندازین، طوری برنامه ریزی کنین که اگه طرح شما شکست خورد
شبکه بازم با مشکلی مواجه نشه ، مثلا در همین سناریو ، کاری بکنین
که اگه ایزا کلا دراپ شد، بازم مشکلی پیش نیاد ، یا حداقل زمانی برای
جواب دادن به حمله انجام شده به شما بده.

[mkm]

آیزا خودش شبکه داخلی رو از اینترنت جدا میکنه و نیاز به انجام تغییرات خاص دیگه ای ندارید (البته با این توپولوژی که دارید) .
فقط join کردنش تو دامین به نظر من کار درستی نیست (دلیلش رو هم شما بهتر از من میدونید) و شما بهترین کاری که میتونید انجام بدید از join درآوردن آیزا هستش .

سلام
وقتی ISA رو به دومین Join نکنیم چطور میتونیم Limit هارو روی یوزرهای Active directory از طریق ISA اعمال کنیم؟؟؟؟؟؟؟

[pardazande]

سلام
وقتی ISA رو به دومین Join نکنیم چطور میتونیم Limit هارو روی یوزرهای Active directory از طریق ISA اعمال کنیم؟؟؟؟؟؟؟

1- دوستان عزیز علی آقا و M__K__M راستش چند وقتی هست من درگیر این موضوع بودم که آیزا واقعا باید به دومین join بشه یا نشه ؟؟ کدومش از لحاظ امنیتی بهتره ؟؟
شاید من نخوام یوزرهامو از طریق اکتیو بخونم. من یورهام کمه و مثل بعضی دوستان 200 یا 300 یا بیشتر یوزر ندارم . نهایتا بشه 60 تا یوزر همزمان و میتونم به صورت دستی واردشون کنم
ممنون میشم از شما که توی این بحث هم یه کمکی بکنید که آیزا عضو دومین باشه یا نه ؟؟؟
2- (Ezilator-جداکننده) که یکی از دوستان معرفی کرده دقیقا چکار میکنه ؟؟؟

ممنون از همه دوستانی که برای پاسخ به این تاپیک وقت میذارن

[mkm]

1- دوستان عزیز علی آقا و M__K__M راستش چند وقتی هست من درگیر این موضوع بودم که آیزا واقعا باید به دومین join بشه یا نشه ؟؟ کدومش از لحاظ امنیتی بهتره ؟؟
شاید من نخوام یوزرهامو از طریق اکتیو بخونم. من یورهام کمه و مثل بعضی دوستان 200 یا 300 یا بیشتر یوزر ندارم . نهایتا بشه 60 تا یوزر همزمان و میتونم به صورت دستی واردشون کنم
ممنون میشم از شما که توی این بحث هم یه کمکی بکنید که آیزا عضو دومین باشه یا نه ؟؟؟
2- (Ezilator-جداکننده) که یکی از دوستان معرفی کرده دقیقا چکار میکنه ؟؟؟
ممنون از همه دوستانی که برای پاسخ به این تاپیک وقت میذارن

امیدوارم مفید واقع بشه:

Understanding Deployment Scenarios with ISA Domain Members and
ISA Workgroup Members

Installing ISA as a domain member is more common in smaller organizations that require
greater simplicity and administrative flexibility. One of the main reasons for this is that
these smaller organizations often deploy ISA as the main, edge-facing firewall for their
networks. When ISA is deployed in this fashion, the reasons against domain membership
become lessened because the server itself is directly exposed to network resources, and
even if it were to be compromised, making it a domain member versus a nondomain
member would not help things greatly.
One of the more common ISA deployment scenarios, on the other hand, involves ISA
being set up as a unihomed (single NIC) server in the DMZ of an existing firewall. In
nearly all these cases, the ISA server is not made a domain member because domain
membership would require the server to open additional ports on the edge-facing firewall.
In this situation, if the ISA server were to be compromised, there would be functional
advantages to keeping the server out of the domain.
A third deployment scenario in use in certain organizations is the creation of a separate
Active Directory forest, of which the ISA server is a member. This forest would be configured
with a one-way trust from the main organizational forest, allowing ISA to perform
domain-related activities without posing a threat to the internal domain accounts.



Functional Limitations of Workgroup Membership

. Local accounts used for administration—Because ISA is not installed in the
domain, local server accounts must be used for administration. On multiple servers,
this requires setting up multiple accounts and maintaining multiple passwords. In
addition, when remotely administering multiple servers, each server requires reauthenticating
through the console each time it is accessed.

. RADIUS or SecurID used for authentication—Because domain authentication is
not available, the ISA server must rely on RADIUS or SecurID authentication to be
used to properly authenticate users. Because an Active Directory deployment can
install the Internet Authentication Service (IAS) to provide RADIUS support, it is
possible to leverage this to allow authentication of domain accounts through
RADIUS on an ISA server that is not a domain member

. Firewall client use disabled—The one functional limitation that cannot be overcome
in a workgroup membership scenario is the fact that the full-blown ISA client
cannot be used. In reality, use of the full Firewall client, which provides advanced
firewall connection rules and user-granular access control, is not widespread, so this
may not factor into the equation. Because the SecureNAT client is supported, this
minimizes the effects of this limitation. SecureNAT clients are essentially any client
on the network (including those on the Internet) that can connect to the server and
does not require any special client software to be installed..

[al1p0ur]

سلام
وقتی ISA رو به دومین Join نکنیم چطور میتونیم Limit هارو روی یوزرهای Active directory از طریق ISA اعمال کنیم؟؟؟؟؟؟؟

اگه شما خیلی دوست دارید که از user های اکتیو دایرکتوری استفاده کنید باید یه سرور RADIUS راه بندازید . اونو به دامین join کنید و از طریق RADIUS Cilent تو آیزا به اون وصل بشید و از اطلاعات اکتیو دایرکتوری استفاده کنید . نه اینکه مستقیما آیزا رو join کنید .

اما اگه براتون فرقی نمیکنه که User اکتیو دایرکتوری باشه یا نه (فقط میخواید بر حسب user باشه )به نظر من از nttac به همراه آیزا استفاده کنید و برای هر فرد کاربری مجزا بسازید . تا یه اکانتینگ خوبی داشته باشید . ضمنا اینجوری هم نیاز ندارید که آیزا رو Join کنید و نیازی هم به RADIUS سرور ندارید .

آیزا باید جداکننده اینترنت و شبکه داخلی باشه نه اینکه خودش عضو شبکه داخلی باشه (join to domain) که با دسترسی به اون ، به شبکه داخلی هم بشه دست یافت .
تو هیچ کدوم از منابعی هم که من خوندم ماکروسافت توصیه نکرده که آیزا به دامین join بشه .

البته بازم شما تصمیم گیرنده هستی و با توجه به نیازهایی که دارید ممکنه مجبور باشید چیزی رو تغییر بدید .

[mkm]

اگه شما خیلی دوست دارید که از user های اکتیو دایرکتوری استفاده کنید باید یه سرور RADIUS راه بندازید . اونو به دامین join کنید و از طریق RADIUS Cilent تو آیزا به اون وصل بشید و از اطلاعات اکتیو دایرکتوری استفاده کنید . نه اینکه مستقیما آیزا رو join کنید .

اما اگه براتون فرقی نمیکنه که User اکتیو دایرکتوری باشه یا نه (فقط میخواید بر حسب user باشه )به نظر من از nttac به همراه آیزا استفاده کنید و برای هر فرد کاربری مجزا بسازید . تا یه اکانتینگ خوبی داشته باشید . ضمنا اینجوری هم نیاز ندارید که آیزا رو Join کنید و نیازی هم به RADIUS سرور ندارید .

آیزا باید جداکننده اینترنت و شبکه داخلی باشه نه اینکه خودش عضو شبکه داخلی باشه (join to domain) که با دسترسی به اون ، به شبکه داخلی هم بشه دست یافت .
تو هیچ کدوم از منابعی هم که من خوندم ماکروسافت توصیه نکرده که آیزا به دامین join بشه .

البته بازم شما تصمیم گیرنده هستی و با توجه به نیازهایی که دارید ممکنه مجبور باشید چیزی رو تغییر بدید .

سلام.

بسیار عالی.

اگه میشه در مورد نصب و راه اندازی RADIUS Server در جهت همکاری با ISA یک راهنمایی بفرمائین.

[ARM]

Debunking the Myth that the ISA Firewall Should Not be a Domain Member

Configuring the Windows Server 2003 ISA Server 2000/VPN Server

Configuring Domain Members in a Back to Back ISA Firewall DMZ

[pardazande]

جسارتا فقط همین یه راهکار هست ؟؟؟
راههای دیگه به نظرتون نمیرسه ؟؟؟

[al1p0ur]

سلام.

بسیار عالی.

اگه میشه در مورد نصب و راه اندازی RADIUS Server در جهت همکاری با ISA یک راهنمایی بفرمائین.

ببخشید که دیر جواب دادم . یه مقدار سرم شلوغ شده .

توضیحش زیاده
شاید این لینک به دردتون بخوره :

Configuring the ISA Server Firewall/VPN Server to Use RADIUS and EAP/TLS Authentication