نمایش نتایج: از شماره 1 تا 15 از مجموع 15
سپاس ها 7سپاس
  • 1 توسط shahani
  • 1 توسط shahani
  • 1 توسط smeysamhen
  • 2 توسط kavehashoori
  • 1 توسط shahani
  • 1 توسط shahani

موضوع: نصب محدود کننده اینترنت در سرور

  
  1. #1
    نام حقيقي: بهراد

    تازه وارد
    تاریخ عضویت
    Jun 2017
    محل سکونت
    تهران
    نوشته
    3
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    5

    نصب محدود کننده اینترنت در سرور

    درود بر همگی
    قبل از شروع اگه موضوع مربوط به این انجمن نیست مدیران لطف کنند جابجا کنند

    سوالم اینکه
    ما تو شرکت یک سرور اصلی داریم 5 تا سیستم وصل شدن حالا من میخوام نرم افزاری بریزم رو سرور که مصرف اینترنت سیستمای دیگرو ببینم یا خاستم محدود کنم نخواستمم فقط ببینم
    حالا باید چیکار کنم از کجاشروع کنم چون اشنایی با شبکه ندارم



  2. #2
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    اگه سرور شما دائم برای اتصال کلاینت ها روشن هست و همینطور تمام اینترنت اول به روی سرور شر میشه و بعد سرور اینترنت رو شر میکنه (یعنی سرور حداقل دوتا کارت شبکه داره )
    یک راه اینه که شما میتونید ارتباط کلاینت ها را قطع کنید و سپس نرم افزار CCproxy رو روی سرور نصب کرده ؛ پهنای باند و ترافیک هر کاربر را مشخص کرده و مانیتور کنید ، در روی کلاینت ها میبایست نرم افزاری شبیه ProxiFier نصب کنید تا بتونن با استفاده از ip و port پروکسی سرور که با استفاده از CCProxy راه اندازی کردین از اینترنت بهره مند بشن.


    l3ehrad سپاسگزاری کرده است.

  3. #3
    نام حقيقي: بهراد

    تازه وارد
    تاریخ عضویت
    Jun 2017
    محل سکونت
    تهران
    نوشته
    3
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    5
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    اگه سرور شما دائم برای اتصال کلاینت ها روشن هست و همینطور تمام اینترنت اول به روی سرور شر میشه و بعد سرور اینترنت رو شر میکنه (یعنی سرور حداقل دوتا کارت شبکه داره )
    یک راه اینه که شما میتونید ارتباط کلاینت ها را قطع کنید و سپس نرم افزار CCproxy رو روی سرور نصب کرده ؛ پهنای باند و ترافیک هر کاربر را مشخص کرده و مانیتور کنید ، در روی کلاینت ها میبایست نرم افزاری شبیه ProxiFier نصب کنید تا بتونن با استفاده از ip و port پروکسی سرور که با استفاده از CCProxy راه اندازی کردین از اینترنت بهره مند بشن.
    سرور دائما روشن هست
    از مودم کابل اومده تو یه سوییچی همون سویج هم کابلا رفته تو سیستمای دیگه



  4. #4
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    خب به این صورت که شما متصل کردین دیگه کامپیوتر شما نقش سرور ارائه دهنده اینترنت رو نداره.
    یعنی چه روشن باشه چه نباشه ، کامپیوترهای دیگه اینترنتشون رو از سویچ دریافت میکنن و شما نمیتونین روش کنترلی داشته باشین.
    اگر فقط هدف دیدن ترافیک مصرفی دستگاه ها هستش ، میتونید به عنوان مدیر شبکه نرم افزار هایی روی کلاینت ها نصب کنید که مصرف هر دستگاه را با جزئیات نشون بده ، ویندوز 8.1 به بالا این قابلیت رو روی خودش داره و نیاز به نصب برنامه جانبی نیست.

    اما اگه هدف کنترل ترافیک دارین ؛ که مثلا دسترسی به فلان برنامه و یا فلان سایت مسدود بشه و یا اینکه هر کاربر چه مقدار سرعت و چه مقدار ترافیک رو مجاز باشه استفاده کنه ؛ شما باید ساختار شبکه خودتون رو تغییر بدین.
    اگه بخواین از یک کامپیوتر دائم روشن برای اینکار بهره ببرین باید دوتا کارت شبکه داشته باشه و مودم با کابل به یکی از اونها وصل بشه و کارت شبکه دیگه به سویچ وصل شه که کامپیوتر های دیگه درون شبکه به اون سویچ وصل هستن.
    ویا راه بهتر خرید یک روتربرد میکروتیک هست که مودم رو بهش متصل میکنید و از اون طرف به یک پورت دیگش دستگاه سویچ رو متصل میکنید .
    اینطوری تمام ترافیک شبکه حتا کامپیوتر سرورتون رو مانتیور و کنترل میکنید ؛ نیاز به نرم افزار جانبی هم نداره و روی خودش برنامه های مورد نیاز وجود داره .
    با راه اندازی یک هات اسپات میتونین به نیازهای خودتون دست پیدا کنید.


    l3ehrad سپاسگزاری کرده است.

  5. #5
    نام حقيقي: بهراد

    تازه وارد
    تاریخ عضویت
    Jun 2017
    محل سکونت
    تهران
    نوشته
    3
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    5
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    خب به این صورت که شما متصل کردین دیگه کامپیوتر شما نقش سرور ارائه دهنده اینترنت رو نداره.
    یعنی چه روشن باشه چه نباشه ، کامپیوترهای دیگه اینترنتشون رو از سویچ دریافت میکنن و شما نمیتونین روش کنترلی داشته باشین.
    اگر فقط هدف دیدن ترافیک مصرفی دستگاه ها هستش ، میتونید به عنوان مدیر شبکه نرم افزار هایی روی کلاینت ها نصب کنید که مصرف هر دستگاه را با جزئیات نشون بده ، ویندوز 8.1 به بالا این قابلیت رو روی خودش داره و نیاز به نصب برنامه جانبی نیست.

    اما اگه هدف کنترل ترافیک دارین ؛ که مثلا دسترسی به فلان برنامه و یا فلان سایت مسدود بشه و یا اینکه هر کاربر چه مقدار سرعت و چه مقدار ترافیک رو مجاز باشه استفاده کنه ؛ شما باید ساختار شبکه خودتون رو تغییر بدین.
    اگه بخواین از یک کامپیوتر دائم روشن برای اینکار بهره ببرین باید دوتا کارت شبکه داشته باشه و مودم با کابل به یکی از اونها وصل بشه و کارت شبکه دیگه به سویچ وصل شه که کامپیوتر های دیگه درون شبکه به اون سویچ وصل هستن.
    ویا راه بهتر خرید یک روتربرد میکروتیک هست که مودم رو بهش متصل میکنید و از اون طرف به یک پورت دیگش دستگاه سویچ رو متصل میکنید .
    اینطوری تمام ترافیک شبکه حتا کامپیوتر سرورتون رو مانتیور و کنترل میکنید ؛ نیاز به نرم افزار جانبی هم نداره و روی خودش برنامه های مورد نیاز وجود داره .
    با راه اندازی یک هات اسپات میتونین به نیازهای خودتون دست پیدا کنید.
    ویندوز سیستم اصلی ویندوز سرور هست
    پس الان راهی جز دو تا کارت شبکه نداریم



  6. #6
    نام حقيقي: ميثم

    عضو عادی
    تاریخ عضویت
    Feb 2011
    محل سکونت
    اصفهان
    نوشته
    364
    سپاسگزاری شده
    246
    سپاسگزاری کرده
    49
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    خب به این صورت که شما متصل کردین دیگه کامپیوتر شما نقش سرور ارائه دهنده اینترنت رو نداره.
    نه لزوماً
    شرط اینکه کامپیوترها اینترنت داشته باشن این هست که default gateway کامپیوترها IP مودم باشه


    اما اگه هدف کنترل ترافیک دارین ؛ که مثلا دسترسی به فلان برنامه و یا فلان سایت مسدود بشه و یا اینکه هر کاربر چه مقدار سرعت و چه مقدار ترافیک رو مجاز باشه استفاده کنه ؛ شما باید ساختار شبکه خودتون رو تغییر بدین.
    اگه بخواین از یک کامپیوتر دائم روشن برای اینکار بهره ببرین باید دوتا کارت شبکه داشته باشه و مودم با کابل به یکی از اونها وصل بشه و کارت شبکه دیگه به سویچ وصل شه که کامپیوتر های دیگه درون شبکه به اون سویچ وصل هستن.
    ویا راه بهتر خرید یک روتربرد میکروتیک هست که مودم رو بهش متصل میکنید و از اون طرف به یک پورت دیگش دستگاه سویچ رو متصل میکنید .
    اینطوری تمام ترافیک شبکه حتا کامپیوتر سرورتون رو مانتیور و کنترل میکنید ؛ نیاز به نرم افزار جانبی هم نداره و روی خودش برنامه های مورد نیاز وجود داره .
    با راه اندازی یک هات اسپات میتونین به نیازهای خودتون دست پیدا کنید
    نیازی به تغییر ساختار نیست.
    1-تنها سیستمی که نیاز به اینترنت داره سرور شما هست. پس روی این سیستم default gateway رو IP مودم قرار دهید.
    2-کامپیوترهای متفرقه لازم نیست دارای default gateway باشن
    3-در صورتی که بخواهن با پروکسی به سیستم های دیگه اینترنت بدن و کاربرهای دیگه استفاده به اینترنت در وبگردی خلاصه میشه بهترین گزینه همان CCProxy هست. برای این کار هم این برنامه روی سرور نصب میشه و بعد روی مرورگر کاربرها تنظیمات پروکسی قرار داده میشه. لازم نیست برنامه proxifier نصب بشه.
    4-درصورتی که کاربرهاشون کارهای دیگه ای انجام میدن بهترین گزینه پیش رو NAT هست. چون سیستم عامل ویندوز سرور دارین میتونین route and remote access با زیر مجموعه routing رو از role های ویندوز نصب کنین.
    چون سرور شما یک کارت شبکه داره وقتی wizard رو اجرا میکنی باید به صورت custom سرور رو تنظیم کنی


    l3ehrad سپاسگزاری کرده است.

  7. #7
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,660
    سپاسگزاری شده
    972
    سپاسگزاری کرده
    324
    سلام
    از میکروتیک و UTM هم میتونید برای اکانتینگ اینترنت به یوزرها استفاده کنید اینترنت وصل میشه به یکککی از این دو تا و اینا براتون تقسیم میکنن با قابلیتهای زیاد از نظر سرعت حجم ساعت و ....
    توضیحات میثم جان هم خیلی خوب و کامل بود

    موفق باشید


    shahani و l3ehrad سپاسگزاری کرده‌اند.

  8. #8
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    نقل قول نوشته اصلی توسط smeysamhen نمایش پست ها
    نه لزوماً
    شرط اینکه کامپیوترها اینترنت داشته باشن این هست که default gateway کامپیوترها IP مودم باشه
    در این صورت مقداری تنظیمات پیچیده میشه
    اگر کلاینت ها gateway عبوری مودم رو تنظیم کنند ترافیک عبوری اصلا به سرور نمیره که بخواد کنترلی روش انجام بشه
    در این شرایط باید بر روی کلاینت ها کنترل های خاص و ویژه ای اعمال شود که اجازه تغییر گت وی به آنها داده نشه و اگر دستگاه موبایل و غیره باشه که جدید به شبکه وارد میشه در این زمینه مشکل بوجود میاد .
    بعد باید با این ساختار شبکه ای مودم را طوری تنظیم کرد که به هیچ دستگاهی بجز کامپیوتر سرور اجازه دسترسی به اینترنت را ندهد.
    از طرف دیگه تنظیم کردن خود سرور بطوری که سرویس اینترنت را روی همان شبکه ای دریافت کند که قرار است به کلاینت ها سرویس دهد کمی دشوار است و خیلی عملکرد ها در این حالت امکان پذیر نیست.
    در این حالت روتینگ های خیلی خاص نیاز هست و باید تنظیمات زیاد ؛ پیچیده و پیشرفته ای اعمال شود .
    مثال ساده اینکه وقتی درخواستی از کلاینت ارسال میشه به دلیل اینکه گت وی پیشفرض مودم هست بجای اینکه جواب به سمت کلاینت هدایت شود به سمت مودم رفته و کلاینت پاسخی دریافت نمیکنه و احتیاج به نوشتن روتینگ های خاص داره .
    درکل این حالت شبکه بندی برای استفاده از سرور اصولی و نرمال نیست چون ترافیک عبوری راهی بجز عبور از سرور دارد.


    l3ehrad سپاسگزاری کرده است.

  9. #9
    نام حقيقي: ميثم

    عضو عادی
    تاریخ عضویت
    Feb 2011
    محل سکونت
    اصفهان
    نوشته
    364
    سپاسگزاری شده
    246
    سپاسگزاری کرده
    49
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    در این صورت مقداری تنظیمات پیچیده میشه
    اگر کلاینت ها gateway عبوری مودم رو تنظیم کنند ترافیک عبوری اصلا به سرور نمیره که بخواد کنترلی روش انجام بشه
    در این شرایط باید بر روی کلاینت ها کنترل های خاص و ویژه ای اعمال شود که اجازه تغییر گت وی به آنها داده نشه و اگر دستگاه موبایل و غیره باشه که جدید به شبکه وارد میشه در این زمینه مشکل بوجود میاد .
    کاربر باید محدود باشه. چه معنی داره کاربر بتونه تنظیمات شبکه رو تغییر بده
    توی سوال دوستمون برای دسترسی اینترنت برای موبایل و غیره اشاره ای نشده

    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    بعد باید با این ساختار شبکه ای مودم را طوری تنظیم کرد که به هیچ دستگاهی بجز کامپیوتر سرور اجازه دسترسی به اینترنت را ندهد.
    ادمین شبکه مودم رو جوری تنظیم میکنه که DHCP غیر فعال باشه
    وقتی کسی IP مودم رو ندونه نمیتونه هم بهش دسترسی پیدا کنه

    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    از طرف دیگه تنظیم کردن خود سرور بطوری که سرویس اینترنت را روی همان شبکه ای دریافت کند که قرار است به کلاینت ها سرویس دهد کمی دشوار است و خیلی عملکرد ها در این حالت امکان پذیر نیست.
    وقتی میخواهی توی RRAS تنظیمات رو انجام بدی از گزینه Custom استفاده کن.
    خیلی راحته

    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    مثال ساده اینکه وقتی درخواستی از کلاینت ارسال میشه به دلیل اینکه گت وی پیشفرض مودم هست بجای اینکه جواب به سمت کلاینت هدایت شود به سمت مودم رفته و کلاینت پاسخی دریافت نمیکنه و احتیاج به نوشتن روتینگ های خاص داره .
    وقتی که gateway روی سرور هست برای چی درخواست کلاینت باید سمت مودم بره؟



  10. #10
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    کلاینت gateway رو سرور تنظیم میکنه اما خود سرور gateway مودم داره اطلاعات رو اون طرفی میفرسته

    پیدا کردن ip مودم که دیگه کاری نداره ! اول اینکه سرور مجبوره روی همون رنج و netid سرویس بده و DHCP داشته باشه که مودم در اون مشغول به کار هست چون فقط یک اینترفیس داره ؛ نگاه کردن جدول Arp ویندوز و یا یک نرم افزار نتورک ویو روی موبایل یا ویندوز راحت مودم و ip اون رو نشون میده ، پس ابداً غیر فعال کردن DHCP سرور در مودم نمیتونه کافی باشه
    هر کلاینتی براحتی یک آدرس ip در رنجی که خودکار از اون ip گرفته برای خودش ست میکنه و گت وی رو روی مودم ست میکنه ؛ اینطوری اصلا اطلاعات به سرور نمیره که بخواد اتفاقی روش بیفته مستقیم به سویچ و مودم میره . حتا اگه شما هر عملیاتی مثل قفل کردن هر مک به یک ip آدرس و غیره رو روی سرور انجام بدین چون سرور کنترلی روی اطلاعات عبوری نداره در این حالت این تنظیمات و DHCP سرور شما که روی کامپیوتر کار میکنه، کنترلی بر روی داده ها نخواهد داشت.

    به همین دلیل باید در دستگاه مودم از Parental Control و MAC Filter بر روی شبکه کابلی استفاده کرد که اینها بستگی به نوع مودم داره که شدنی باشه و یا نه.
    و یا بجای اون سویچ وسط راه یک روتر داشته باشی که در اون تنظیم بشه فقط داده ها کلاینت ها به سمت سرور بره ؛ که این بحث هم مختومه هست ؛ چون اصلا اگه روتر باشه که از همون اول تمام برنامه ریزی ها و کنترل ترافیک در خود روتر میتونه انجام بگیره.



  11. #11
    نام حقيقي: ميثم

    عضو عادی
    تاریخ عضویت
    Feb 2011
    محل سکونت
    اصفهان
    نوشته
    364
    سپاسگزاری شده
    246
    سپاسگزاری کرده
    49
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    کلاینت gateway رو سرور تنظیم میکنه اما خود سرور gateway مودم داره اطلاعات رو اون طرفی میفرسته

    پیدا کردن ip مودم که دیگه کاری نداره ! اول اینکه سرور مجبوره روی همون رنج و netid سرویس بده و DHCP داشته باشه که مودم در اون مشغول به کار هست چون فقط یک اینترفیس داره ؛ نگاه کردن جدول Arp ویندوز و یا یک نرم افزار نتورک ویو روی موبایل یا ویندوز راحت مودم و ip اون رو نشون میده ، پس ابداً غیر فعال کردن DHCP سرور در مودم نمیتونه کافی باشه
    هر کلاینتی براحتی یک آدرس ip در رنجی که خودکار از اون ip گرفته برای خودش ست میکنه و گت وی رو روی مودم ست میکنه ؛ اینطوری اصلا اطلاعات به سرور نمیره که بخواد اتفاقی روش بیفته مستقیم به سویچ و مودم میره . حتا اگه شما هر عملیاتی مثل قفل کردن هر مک به یک ip آدرس و غیره رو روی سرور انجام بدین چون سرور کنترلی روی اطلاعات عبوری نداره در این حالت این تنظیمات و DHCP سرور شما که روی کامپیوتر کار میکنه، کنترلی بر روی داده ها نخواهد داشت.

    به همین دلیل باید در دستگاه مودم از Parental Control و MAC Filter بر روی شبکه کابلی استفاده کرد که اینها بستگی به نوع مودم داره که شدنی باشه و یا نه.
    و یا بجای اون سویچ وسط راه یک روتر داشته باشی که در اون تنظیم بشه فقط داده ها کلاینت ها به سمت سرور بره ؛ که این بحث هم مختومه هست ؛ چون اصلا اگه روتر باشه که از همون اول تمام برنامه ریزی ها و کنترل ترافیک در خود روتر میتونه انجام بگیره.
    چرا یه کارمند ساده باید بتونه تنظیمات کارت شبکه رو عوض کنه؟
    چرا یه کارمنده ساده باید بتونه نرم افزار نصب کنه؟
    یوزر کارمند ساده باید محدود باشه

    وقتی محدود باشه دیگه دست و پاش بسته میشه



  12. #12
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    خوب دیگه میگم موضوع پیچیده میشه همینه
    اگه دستگاه جدیدی بدون اجازه وصل شه به شبکه مشکل بوجود میاد.
    اگه یک کاربر بتونه محدودیت ها رو دور بزنه به هر صورت ممکنه از هک کردن و یا آن لاک کردن رمز ادمین ویندوز بگیر تا کار های جزئی داخل ویندوز - مشکل بوجود میاد

    حالا من از شما سوال میکنم
    چرا باید یک مدیر شبکه اجازه بده امکان کنترل شبکه اش بوسیله کلاینت وجود داشته باشه ؟
    آیا یک مدیر شبکه خرید یک کارت شبکه 10 هزارتومنی برای کامپیوتر سرور را باید غیر ضروری بداند و امنیت شبکه خود را بشدت کاهش دهد ؟ و سپس اعلام کند، اعمال دقیق ترین و حرفه ای ترین محدود سازی ها برای کلاینت ضروری است ؟

    من میگم چرا عاقل کند کاری که باز آورد پشیمانی !
    وقتی میشه از سرور و درگاه عبوری اطلاعات محدودیت کامل اعمال کرد ، محدود کردن کلاینت ها به این منظور چه معنی ای میتواند داشته باشد ؟
    یک مدیر شبکه وظیفه داره یک شبکه اصولی و دقیق را پیاده سازی کنه و آینده نگری کنه .
    شما وقتی درگاه عبوری اطلاعات را درست و اصولی مدیریت کرده باشی ؛ هر اتفاقی برای کلاینت بیفته دسترسی هایی که نباید داشته باشه را نخواهد داشت! چه یک هکر فوق حرفه ای باشه و چه یک کارمند ساده .

    شما اومدی سر حرف من ؛ من میگم اصلا چرا کلاینت باید به چنین تنظیمات مهمی ، امکان دسترسی داشته باشه از داخل دستگاه خودش ؟
    مهمترین مسائل ارتباطی نباید از داخل یک دستگاه کلاینت تنظیم بشه ! این رو هر مدیر شبکه ای میدونه ؛ حالا اگه یک هکر بطور هوایی و یا زمینی دستگاه خودش رو به شبکه متصل کرد ؛ چون روی سیستم عامل اون هیچ کنترلی وجود نداره دیگه باید کل شبکه بره رو هوا ؟!!

    آدم عاقل بطور اصولی درگاه عبوری اطلاعات رو کنترل میکنه و امکان هیچگونه نفوذی رو نمیده .
    بعد در درجه دوم میره دستگاه های کلاینت ها رو محدود میکنه . ممکنه فردا روز نیاز باشه سیستم ها برای برنامه ای باز بشن و یا یکی به یوز ادمین دسترسی پیدا کنه ، اونم در یک کلاینت دور از شما که کاربر وقت کافی برای هر کاری در داخل اون داره !
    حالا چون سیستم کلاینت رو میتونیم بطور کامل محدود کنیم دیگه باید درگاه مهم عبوری اطلاعات رو به حال خودش رها کنیم و کلاینت ها از چندین راه مختلف به تمامی دستگاه های مهم و حیاتی دسترسی داشته باشن ؟ این واقعا مسخره است.

    خیر دوست من اینجوری نمیشه ، خرید یک کارت شبکه ده هزارتومنی که هیچ ، مدیر شبکه به تعداد نیاز زیرساخت شبکه باید از انواع دستگاه های مختلف بهره ببره از روترهای بزرگ و حرفه ای گرفته تا فایروال ها و دیگر تجهیزات خوب شبکه ای در حد نیاز شبکه و وضعیت مالی سازمان.



  13. #13
    نام حقيقي: ميثم

    عضو عادی
    تاریخ عضویت
    Feb 2011
    محل سکونت
    اصفهان
    نوشته
    364
    سپاسگزاری شده
    246
    سپاسگزاری کرده
    49
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    خوب دیگه میگم موضوع پیچیده میشه همینه
    اگه دستگاه جدیدی بدون اجازه وصل شه به شبکه مشکل بوجود میاد.
    اگه یک کاربر بتونه محدودیت ها رو دور بزنه به هر صورت ممکنه از هک کردن و یا آن لاک کردن رمز ادمین ویندوز بگیر تا کار های جزئی داخل ویندوز - مشکل بوجود میاد
    اولا شبکه ای که 5 تا سیستم داره ، اینقدر کوچیک هست که یه سیستم که بهش اضافه بشه 5 تا کارمند ساده دیگه به مسئول شبکه اطلاع بدهند و فورا دسترسی فیزیکی اون سیستم قطع میشه.
    دوما شبکه رو راحت میتونی با NPS کنترلش کنی که کسی سیستم نیاره داخل شبکه و در صورتی که سیستم جدید اضافه شد قبل از دسترسی به منابع سازمان نیاز به احراز هویت پیش از اتصال جهت دریافت اطلاعات اتصال داشته باشه

    حالا من از شما سوال میکنم
    چرا باید یک مدیر شبکه اجازه بده امکان کنترل شبکه اش بوسیله کلاینت وجود داشته باشه ؟
    آیا یک مدیر شبکه خرید یک کارت شبکه 10 هزارتومنی برای کامپیوتر سرور را باید غیر ضروری بداند و امنیت شبکه خود را بشدت کاهش دهد ؟ و سپس اعلام کند، اعمال دقیق ترین و حرفه ای ترین محدود سازی ها برای کلاینت ضروری است ؟
    ایجاد محدودیت فرشته نجات ادمین ها هست.
    یه بار تو یه سازمان بدون محدودیت برو ببین هرکی از راه رسیده برداشته یه بلایی سر سیستم آورده.
    بعد کارمند زنگ میزنه فناوری اطلاعات و میگه مشکل دارم و ادمین یا مسئول شبکه باید بره پای سیستم طرف و تازه توی اون کثافت کاری ای که کارمند راه انداخته بگرده و مشکل رو پیدا کنه.
    این وسط روز بعد که جلسه واحد های مختلف سازمان هست وقتی از یه واحد سوال میشه چرا شما کارهات رو انجام ندادی به راحتی میگه سیستم خراب بود و فناوری اطلاعات باید پاسخگو باشه و اینجا انگشت اتهام به سمت شمایی میره که اعمال محدودیت دقیق و حرفه ای رو برای کلاینت ها ضروری نمیدونی

    من میگم چرا عاقل کند کاری که باز آورد پشیمانی !
    وقتی میشه از سرور و درگاه عبوری اطلاعات محدودیت کامل اعمال کرد ، محدود کردن کلاینت ها به این منظور چه معنی ای میتواند داشته باشد ؟
    یک مدیر شبکه وظیفه داره یک شبکه اصولی و دقیق را پیاده سازی کنه و آینده نگری کنه .
    شما وقتی درگاه عبوری اطلاعات را درست و اصولی مدیریت کرده باشی ؛ هر اتفاقی برای کلاینت بیفته دسترسی هایی که نباید داشته باشه را نخواهد داشت! چه یک هکر فوق حرفه ای باشه و چه یک کارمند ساده .
    منم همین رو میگم
    میگم اول مسیر جریان اطلاعات رو روی سیستم کلاینت ها مشخص کن و بدون از کجا عبور میکنن و بعد از اینکه همه چیز درست شد سیستم رو محدود کن تا کسی از این مسیر خارج نشه

    شما اومدی سر حرف من ؛ من میگم اصلا چرا کلاینت باید به چنین تنظیمات مهمی ، امکان دسترسی داشته باشه از داخل دستگاه خودش ؟
    مهمترین مسائل ارتباطی نباید از داخل یک دستگاه کلاینت تنظیم بشه ! این رو هر مدیر شبکه ای میدونه ؛ حالا اگه یک هکر بطور هوایی و یا زمینی دستگاه خودش رو به شبکه متصل کرد ؛ چون روی سیستم عامل اون هیچ کنترلی وجود نداره دیگه باید کل شبکه بره رو هوا ؟!!
    کی گفته تنظیمات مهم قرار هست توسط کلاینت انجام بشه؟
    کلاینت داره تنظیمات مهم رو از DHCP میگیره محدودیت هاش داره توسط Group policy اعمال میشه
    منابع سازمان در اختیار کاربر/سیستم قرار میگیره که توسط AD تایید شده.
    برای اینکه کاربر/سیستم توسط AD تایید بشه باید عضو باشه.
    برای اینکه عضو باشه باید ادمین این کار رو انجام داده باشه.

    سیستم آقای هکر میخواهد به صورت فیزیکی نفوذ کنه.
    اگه شبکه وایرلس داشته باشی میتونی وایرلس رو به صورت 802.1x بزاری
    اگه شبکه سیمی داری میتونی همون روش 802.1x رو انجام بدی ولی خب سوییچ با قابلیت 802.1x هزنیه بر هست و شما مجبور هستی عقب نشینی موقتی داشته باشی در عوض شرط دسترسی به منابع رو عضویت در دامین قرار میدی


    آدم عاقل بطور اصولی درگاه عبوری اطلاعات رو کنترل میکنه و امکان هیچگونه نفوذی رو نمیده .
    بعد در درجه دوم میره دستگاه های کلاینت ها رو محدود میکنه . ممکنه فردا روز نیاز باشه سیستم ها برای برنامه ای باز بشن و یا یکی به یوز ادمین دسترسی پیدا کنه ، اونم در یک کلاینت دور از شما که کاربر وقت کافی برای هر کاری در داخل اون داره !
    حالا چون سیستم کلاینت رو میتونیم بطور کامل محدود کنیم دیگه باید درگاه مهم عبوری اطلاعات رو به حال خودش رها کنیم و کلاینت ها از چندین راه مختلف به تمامی دستگاه های مهم و حیاتی دسترسی داشته باشن ؟ این واقعا مسخره است.
    تفاوت دیدگاه من و شما در این هست که شما میخواهی منابع رو با میکروتیک کنترل کنی ولی من میخواهم با AD,GP,NAC,NPS کنترل کنم.

    خیر دوست من اینجوری نمیشه ، خرید یک کارت شبکه ده هزارتومنی که هیچ ، مدیر شبکه به تعداد نیاز زیرساخت شبکه باید از انواع دستگاه های مختلف بهره ببره از روترهای بزرگ و حرفه ای گرفته تا فایروال ها و دیگر تجهیزات خوب شبکه ای در حد نیاز شبکه و وضعیت مالی سازمان.
    من اگه دستم توی سازمان باز باشه به جای اینکه بیام از یه میکروتیک استفاده کنم برای کنترل منابع از سوییچ سیسکو استفاده میکردم و Port Poisoning میزاشتم تا آقای هکر نتونه به منابع من نفوذ کنه

    در ثانی چیزی که سازمان ها ریخته کارت شبکه است.
    ثالثا یه سرور واقعی بیشتر از یک کارت شبکه داره. به نظر میرسه شما بیشتر با دسکتاپ کار کردی و روش سرور نصب کردی
    رابعا اگه خیلی دوست داری شبکه رو محکم ببندی چه کاریه اینقدر وقت بزاری؟ برو یه سرور پدر مادر دار بخر همه رو مجازی کن به هر کارمند هم یه thin client یا zero client بده (بسته به نیاز سازمان)

    استارتر محترم روش این دوستمون رو دوست داشتی انجام بده.
    روش من رو دوست داشتی انجام بده.

    خوشحال شدم از مصاحبت با دوستان
    خدانگهدار



  14. #14
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    چطور میخواد احراز هویت انجام بشه ؟ وقتی کلاینت بجای وصل شدن به سروم میتونه مستفیم به مودم وصل شه ؟
    شما داری موضوع رو می پیچیونی من ساده میگم ارتباطات باید بطوری انجام بشه که کنترل روش باشه و کاربر قادر نباشه مسیر دیگه ای رو انتخاب کنه و دستگاه های کنترلی رو دور بزنه .

    بعد مگه من گفتم نباید کنترلی روی کلاینت ها اعمال بشه ؟ از کجای حرف من چنین چیزی برداشت می شد ؟ و شایدم شما خواستی از عمد حرف من رو جور دیگه ای جلوه بدی و عوض کنی که قابل حمله کردن باشه !!!

    من دارم میگم داداش گلم انتخاب gateway نباید دست کلاینت باشه ؛ علتشم اینه که نتونه به هیچ نوع و روشی به دستگاه مودم دسترسی پیدا کنه بجز اینکه از تنها راه موجود یعنی عبور از سیستم یا روتر کنترل ترافیک عبور کنه .

    محدود کردن سیستم بجای خودش ؛ گذاشتن چندراه برای ارتباط با مودم در یک سیستم کنترل ترافیک بزرگترین نقص طراحی و امنیتی بحساب میاد .
    شما برو بیشترین محدودیت هایی که فکر میکنی میتونی رو روی یک سیستم اعمال کن من برات توی دو دقیقه بازش میکنم و هر کاری که دلم بخواد روی اون کامپیوتر انجام میدم !
    فرقی نمیکنه شما یک کلاینت داشته باشی و یا اینکه صدتا و یا هزارتا ، اصول کار همیشه یکسان هست حالا شما نمیخوای این اصول ساده رو که همه میدونن قبول کنی میل خودته ، دوست داری به من که مدیر اصلی شبکه ارتش جمهوری اسلامی بودم و با انواع حملات غیر منتظره از خارج و داخل مواجه شدم بگی که برم یک شبکه اداری ساده رو نگاه کنم بازم ایرادی نداره ؛ یا دلت میخواد به من که تو زمان بچگی کل یک شهر رو هک کرده بودم بگی که از اصول امنیت چیزی سرت نمیشه و حرف تو دهنم بگذاری که پیشنهاد بازگذاشتن کلاینت ها رو میدم بازم ایرادی نداره ؛ اما آخرش که چی
    بحث رو بیخود منحرف نکن بلکه یک نتیجه درست و درمون ازش در بیاد ! و حداقل اگه خواستیم بعدا کسی رو راهنمایی کنیم لااقل خودمون یک حداقل اصولی رو از راه اندازی شبکه بدونیم.

    من گفتم یک روتر حالا اگه میکروتیک نبود هم نبود سیسکو بهتر چه تفاوتی داره ! ؛ خوب من گفتم باید هر اینترنفیس در کامپیوتر سرور باید یک کارت شبکه داشته باشه ، علتشم توضیح دادم حرف غیرقابل فهمی نزدم.

    فرض کن یک شبکه ساده 5 کامپیوتری داریم اون وقت برای کنترل ترافیک بجای اینکه مودم فقط به دستگاه سرور یا روتر اصلی وصل باشه اومده رفته به یک سویچ و همه کلاینت ها بهش دسترسی دارن !
    اون وقت یک کامپیوتر رومیزی ساده داریم که همه جوره محدود شده .
    خوب یک لحظه در کیس رو باز میکنم و جامپر ریست مادربورد رو اتصال کوتاه میکنیم تا رمز بایاس برداشته شه و میریم داخل بایاس دستگاه رو میگذاریم روی بوت سی دی ، فلش ، شبکه و یا غیره ، دستگاه رو بوت میکنیم و حافظه ای جانبی حالا به هر شکلی که باشه رو در دستگاه قرار میدیم مراحلی مانند نصب ویندوز میاد و در حالت ریستور فایل اصلی رمز ادمین ویندوز رو Replace میکنه و تمام دستگاه میاد بالا بدون رمز ادمین و یا یک رمز پیش فرض .
    حالا از داخل یوزر ادمین هرکاری که نیاز هست چه لغو Group policy های اعمال شده تا دادن دسترسی ادمین به کاربر یا ساخت کاربر جدید و هرچیز دیگه ای انجام میشه .
    تنظیمات حیاتی یعنی اینکه این کاربر الان میتونه با تنظیم gateway با ip مودم بدون هیچ کنترلی از اینترنت استفاده کنه ، اگه ارتباط به نوع دیگه ای بود این سیستم برای استفاده از اینترنت هیچ راهی بجز تنظیم gateway خود با سرور یا روتر کنترل ترافیک نداشت اما با این سیستم پیشنهادی جنابعالی تمامی محدودیت ها رو دور میزنه و اصلا داده ای برای کنترل به سرور نخواهد رفت که بخواد کنترلی روش انجام بشه . کل این مراحل 2 دقیقه هم طول نمیکشه .
    تنظیمات مهم یعنی همین امکان انتخاب gateway بوسیله سیستم کلاینت !

    حالا بجای این سیستم این آقای هکر هم که به شبکه متصل شده تمام این انتخاب ها رو داره و وقتی اطلاعات از درگاه کنترل کننده عبور نکنه ، یعنی طراح اون شبکه هرچی تا حالا ساخته انگار نساخته و با پشمک فرقی نمیکنه .

    این ساده ترین و راحت ترین راه برای دور زدن یک شبکه الکی مثل شبکه پیشنهادی جنابعالی هست .
    میدونی من فکر میکنم شما تا بحال کار جدی انجام ندادی ، اگه نه هیچ وقت چنین پیشنهادی نمیدادی .
    پیشنهاد شما بقدری مشکل داره که با ساده ترین روش ها دور زده میشه !
    خیلی خنده داره که میگین برای مخفی کردن ip مودم بیایم DHCP Server رو روی مودم خاموش کنیم ، همین برای نشون دادن سواد خیلی خیلی بالای شما کافیه .
    به هرحال شما باید برای کنترل ترافیک باید DHCP سرور رو روی تمام دستگاه ها در یک نت ای دی خاموش کنی تا بتونی با این سرویس رو روی سرور کنترل ترافیک بدون مشکل ارائه بدی .

    یا فکر میکنی اگه نشه روی یک کلاینت نرم افزار نصب کرد دیگه نمیشه از نرم افزار استفاده کرد ! این نشون از ساده لوحی شما داره ! نرم افزار ها پورتیبل بدون نصب اجرا و قابل استفاده هستن ؛ چطوره جلوی اجرای تمام فایل های اجرایی رو هم بگیریم ؟ از نظر شما چطوره ؟
    خوب داس ویندوز رو در تمام شرایط safe mode و غیره هم باید ببندیم دیگه چون اگه ارتباطی توی یک شبکه با یک NetID برای دسترسی به اینترنت برقرار بشه ؛ مک آدرس و Ip مودم به لیست دستگاه های درحال ارتباط ویندوز اضافه میشن



    بهتره یه مقدار از این حالت ساده انگاری خارج بشی و تفاوتی نداره چه شبکه ای رو میسازی ؛ در ساخت به نکات متفاوتی توجه کنی ، این که فقط یک شبکه در یک سری شرایط غیر استاندارد فقط کار کنه ؛ کافی نیست !



    وظیفه خودم دونستم که این مورد رو متذکر بشم ؛ حالا دوست دارید بگید اشتباه میکنم و هرچیز دیگه ای مهم نیست .
    من بیسواد هستم ؛ هیچ وقتم نه ادعای سواد داشتم نه اینکه وقت و حوصله کل کل با کسی رو داشتم و دارم ، اگه چیزی گفتم برای اینکه احساس کردم وظیفه من هست و از گردن من هم دیگه رد شده .
    میل خودتونه شبکه مال شماست ، مدیرش شمایین ، سوادشم شما دارین ، هرکاری دلتون میخواد بکنید.


    ویرایش توسط shahani : 2017-06-19 در ساعت 01:56 PM
    kavehashoori سپاسگزاری کرده است.

  15. #15
    نام حقيقي: night sky

    تازه وارد
    تاریخ عضویت
    Jun 2017
    محل سکونت
    تهران
    نوشته
    2
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    0
    سلام. آیا راهی برای محدود کردن اینترنت خانگی هم وجود دارد؟



کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •