سناریوی پیاده سازی IP-sec

[MS-DOS]

با سلام. من میخوام یکی از مشکلات شبکمو با این متد حل کنم. خواهش میکنم اگر قابل قبول نیست یا متد دیگری وجود داره دوستان راهنمایی کنن و همچنین سناریو های پیاده سازی.ممنون.
من میخواستم در شبکه چون ورود و خروج لپتاپ توی شرکت زیاده کاری کنم که کاربران یواشکی با زدن لپتابشون به پورتهای شبکه شرکت نتونن با ورود به سرور و زدن یوزر/پس دامین اطلاعات بیرون ببرنن چون تمام IO های اونا بستس و همین راه فرارشونه.
توضیح: سوییچ من قابلیت port-security نداره. شبکم دامینه سرور 2008.
با دانش من راهی ک ب ذهنم میرسه راه اندازی IP-sec هست که من بیام توش رووول تعریف کنم که تمام ip ها به مقصد کامپیوتر storage شرکت موظفن تمام ارتباطات رو تحت بستر IP-sec انجام بدن تحت کامپیوترهای join to domain از طریق group-policy.
سوال: آیا اینکار منطقیه یعنی برای این سوال این راه حله یا خیر. یا که باربری با الگانسه به جای وانت.
سوال: آیا اصلا پیاده سزی ip-sec نرخ سرباره پردازشی و انتقالات شبکه رو بدلیل رمزگزاریش بشدت بالا میبره یا قابل تحمله؟

سناریویی دیگر: در یک شرکت دیگر زیر ساخت شبکه وایرلسه. آیا من با پیاده کردن IP-sec بدلیل اینکه میخوام کلا شبکه رو امن کنم تحت زیر ساخت وایرلس کار درستی میکنک.
الزامات: اقدامات امنیتی مثل wpa2 انجام شده و من فقط میخوام محکم کاری کنم.

خواهش آخر: اگر دوستان به شکل مختصر فقط سناریوهایی رو ک تا بحال ip-sec رو پیاده کردن بگن تا ما هم کسب تجربه کنیم ممنون میشم. مثلا اگر جایی dns synch رو تحت iP-sec پیاده کردید.
ارادتمند

---

موضوعات مشابه:

• راه اندازی Hotspot و UserManager برای سناریوی زیر
• سناریوی اصلی پیاده سازی شبکه !
• پیشنهاد خرید سرور و تجهیزات برای مجازی سازی با 12 میلیون بودجه
• تنظیم Vmware و میکروتیک با ADSL برای شبیه سازی یک سناریوی واقعی
• nm16 am و cisco 2621 سری دستورات راه اندازی و پیاده سازی به صورت گام به گام

---

[zamoova]

دوست عزیز ، ببخشید اینو میپرسم.

اگه یوزری به فایل ها دسترسی داشته باشه ، با IPSec هم خواهد داشت . اگه یوزر به فایل ها دسترسی
نداره ، دیگه احتیاجی به IPsec نیست . برداشت من درسته؟

[deathpoint]

میخواستم در شبکه چون ورود و خروج لپتاپ توی شرکت زیاده کاری کنم که کاربران یواشکی با زدن لپتابشون به پورتهای شبکه شرکت نتونن با ورود به سرور و زدن یوزر/پس دامین اطلاعات بیرون ببرنن چون تمام IO های اونا بستس و همین راه فرارشونه.

چرا محدودیت MAC ADDRESS نمی ذاری که بجز کامپیوتر های شبکت ....هیچ کامپیوتر و لپتاپی که به شبکت متصل می شه نتونه ای پی بگیره ؟

[MS-DOS]

دوست عزیز ، ببخشید اینو میپرسم.

اگه یوزری به فایل ها دسترسی داشته باشه ، با IPSec هم خواهد داشت . اگه یوزر به فایل ها دسترسی
نداره ، دیگه احتیاجی به IPsec نیست . برداشت من درسته؟

درسته. ولی من دنبال حالتی برای پیاده سازی میگردم که مبتنی بر connection-security هست . احتمالن بد گفتم. ببینید توی advance firewall در group policy یه پیاده سازی profile مانند از ip-sec مطرح شده که مقید میکنه "فقط کامپیوترهایی که join to domain شدن" تحت این پروفایل خاص بتونن به سرور مقد سترسی داشته باشن. هدف پیاده سازی من این هست. چون پیش آمده کاربری لپتاپ خودشه به شبکه وصل کرده و ip سرورو زده و با یوزر/پس خودش چون دسترسی داشته تونسته فایل بیرون ببره. اصل مطلب من مدلی از ip-sec بر پایه امنیت کاربر تحت کامپیوتر هست. میدونم که اینکار رو میشه با راه ندازی certificate انجام داد ولی تو تنظیمات group-policy هم یشه اینکار رو کرد. ادامه نظر شما رو خواهانم/ با تشکر.

چرا محدودیت MAC ADDRESS نمی ذاری که بجز کامپیوتر های شبکت ....هیچ کامپیوتر و لپتاپی که به شبکت متصل می شه نتونه ای پی بگیره ؟

منظور شما این طریق پیاده سازی تحت دستگاه هست یا سرور؟
اگر منور شما مثلا سوییچ هست که من سوییچم لایه 2 ک چ عرض کنم لایه یکه!
ولی اگه اینکار رو میشه درون سرور 2008 کرد ممنون میشم خیلی سر فصل وار و مختصر بگید از کجا میشه مقید کرد فقط mac address های خاصی به یک file server بتونن کانکت کنن.
همچنین برای محیطهای SMB با ماکزیمم 40-50 سیستم سلوشن خوبیه ولی تعداد بالا را جواب نمیده. هدف رسیدن به یه متد برای رفع این مشکله چون احتمالا بیشتر رفقا این مشکل رو و این خطر رو دارند. بخصوص برا امثال من که تو شبکه هایی کار میکنیم ک فایل بهیچ وجه نباید بیرون بره.