امنیت در ترافیک شبکه با سوئیچ سیسکو managable

**bahramian** · 2013-12-27, 06:49 PM

سلام
من اینترنتی رو که توسط سرور هام در ساختمان 1 مصرف می شود ..را می خواهم به ساختمان 2 منتقل کنم و در اونجا هم شیر بشه.
مشکلی که دارم این هست که ساختمان 1 با اینکه همه ی سرور ها در آن قرار دارند هیچ امنیتی روی آن لحاظ نشده ...

و حالا دنبال راه حلی هستم که کاربرهای ساختمان 2 اینترنت رو دریافت کنند ولی ترافیک خروجی شون به سمت ساختمان 1 (روتر و سرور ها در آن واقع شده) را کنترل کنم و امن کنم ..
می شود با دستور نوشتن روی سوئیچ ساختمان 2 یا فعال کردن IP valid روی آن و یا ... این کار رو انجام داد.
با تعریف ACL و.. روی سوئیچ ساختمان 2 می تونم امنیت را لحاظ کنم...

امنیت سرور ها فقط در برابر حملات داخلی الآن منظورم هست ..شبکه داخلی (ساختمان 2 ) ... که از طریق سوئیچ سیسکو 2960 به ساختمان 1 وصل شده است.
امنیت بحث گسترده ای هست قبول ..ولی من الان فقط می خواهم از طرف کاربرای ساختمان 2 (داخلی ) برای شبکه ام مشکلی پیش نیاد .. می خواهم ببینم چه گزینه های امنیتی از طریق سوئیچی که ساختمان2 را به ساختمان اصلی سرور هام وصل کرده وجود دارد ...؟؟؟

موضوعات مشابه:

**A.Yazdani** · 2013-12-27, 06:56 PM

بحث امنیت شبکه یک بحث گسترده ای است که صرفآ با نوشتن ACL نمی توان گفت شبکه شما امن میشود !
من دقیقآ نفهمیدم قصد شما چیه ؟امنیت سرور ها توسط حملات داخلی یا خارجی ؟
توضیحی در مورد Device هایی که در اختیار دارید ندادید .
اما در کل اگر بخواهید دسترسی گروهی خاص از سیستم ها بر روی یک سری پروتکل خاص رو به سرور مجاز کنید , بله ACL گزینه خوبیست .

**bahramian** · 2013-12-27, 08:00 PM

منیت سرور ها فقط در برابر حملات داخلی الآن منظورم هست ..شبکه داخلی (ساختمان 2 ) ... که از طریق سوئیچ سیسکو 2960 به ساختمان 1 وصل شده است.
امنیت بحث گسترده ای هست قبول ..ولی من الان فقط می خواهم از طرف کاربرای ساختمان 2 (داخلی ) برای شبکه ام مشکلی پیش نیاد .. می خواهم ببینم چه گزینه های امنیتی از طریق سوئیچی که ساختمان2 را به ساختمان اصلی سرور هام وصل کرده وجود دارد ...؟؟؟

چه اطلاعاتی برای جواب دادن نیاز دارید ..بهم بگید تا اینجا بنویسم....
آخه یه مقدار acL نوشتن پردردسر به نظر میرسه
غیز از لیست دسترسی راه دیگه ای روی سوئیچ وجود نداره ..؟؟؟؟

**greatcyrus** · 2013-12-27, 08:43 PM

رو سوییچ لایه2 بحث امنیت یه سری کارا میشه کرد:
مثلا جلوگیری از ,Allowed VLAN,vlan hopping,dhcp spoofing,CAM table overflow,STP manipulation,MAC Address spoofing و ...
با اکسس لیست هم مجوز دسترسی میتونید بدید...
حالا دقیقا چی میخای شما ؟

**bahramian** · 2013-12-27, 09:12 PM

هیچی فقط می خواهم
کسی به سرور اکانتیگ IBSNG و سرور نرم افزار های داخلی دانشگاه و سرور webportal نتواند دسترسی پیدا کند و (هک کند)
دوست عزیز فکر نمی تونم بتونم رو سوئیچ طرف ساخمان 2 ویلن بنویسم ...

**greatcyrus** · 2013-12-27, 09:53 PM

منظورت از کسی دقیقا کیه؟
منطورت شبکه تراست خودته؟ یا فکر میکنی کسایی بدون مجوز میان تو شبکه ات ؟

**bahramian** · 2013-12-27, 10:01 PM

نوشته اصلی توسط greatcyrus

منظورت از کسی دقیقا کیه؟
منطورت شبکه تراست خودته؟ یا فکر میکنی کسایی بدون مجوز میان تو شبکه ات ؟

تشکر
آره منظورم شبکه داخلی هست(کاربران ساختمان2) ..چون ساختمان 2 شبکه بیسیم هست و البته تعداد زیادی هم کاربر دارد

**A.Yazdani** · 2013-12-27, 10:11 PM

نوشته اصلی توسط bahramian

هیچی فقط می خواهم
کسی به سرور اکانتیگ IBSNG و سرور نرم افزار های داخلی دانشگاه و سرور webportal نتواند دسترسی پیدا کند و (هک کند)
دوست عزیز فکر نمی تونم بتونم رو سوئیچ طرف ساخمان 2 ویلن بنویسم ...

برای این کار از ACL استفاده کنید .و این نیاز شما رو برطرف می کنه .

**bahramian** · 2013-12-27, 10:35 PM

نوشته اصلی توسط A.Yazdani

برای این کار از ACL استفاده کنید .و این نیاز شما رو برطرف می کنه .

خیلی خوبه تشکر
حالا من برای نوشتن ACL باید روی سوئیچ آی پی valid ست کنم ...؟

غیر از این لیست دسترسی رو روی تک تک IP های سرور هام و کامیپوتر های ساختمان یک (رنج مشخصی دارن و استاتیک هستند) فقط بنویسم .. کافیه ؟ یا روی پورت (یا پروتکل) هم لازمه ACL بنویسم ..اگر این دومی لازمه یک مثال می زنید ..؟ (یک مثال ACL که همه ترافیک ورودی از یک آی پی رو اجازه بده ولی ترافیک خروجی رو به پروتکل خاصی از این آی پی فقط مجوز بدهد.- مثلا ما یک نرم افزار داریم که کاربرهای ساختمان 2 وضعیت رو از این نرم افزار می خونن و ثبت اطاعات انجام می دهند ..یعنی ترافیک ورودی و هم خروجی.... این رو هم میشه با ACL نوشت و امن کرد)

**A.Yazdani** · 2013-12-27, 10:55 PM

ببینید Public IP که شما دارین برای کاربران بیرون شبکتون هست و هیچ ربطی به شبکه داخلی شما ندارن . شما کافی رنج IP هایی که مجاز به استفاده از سرور ها هستند را Permit کنید و الباقی رو Deny کنید .
برای اطلاع بیشتر در مورد ACL هم لینک زیر رو مطالعه بفرمایید (در مورد کار شما ACL باید IP ها رو شامل بشه نه Port )

کد:

Catalyst 2960 and 2960-S Software Configuration Guide, 12.2(55)SE - Configuring Network Security with ACLs

**bahramian** · 2013-12-28, 09:37 AM

تشکر
پس با این اوصاف روی سوئیچ گزینه ی امنیتی برای اینکه کاربرای داخلی نتونن (یا حداقل محدود تر بشن) برای استفاده از سرور ها وجود ندارد. ..
راه دیگه ای نیست(روی سوئیچ) ...؟

**greatcyrus** · 2013-12-28, 03:51 PM

شما دقیق توضیح نمیدی که ...!
بگو تو ساختمو2 که یه 2960 داری چنتا کلاینت هست؟
همه شون مستقیم تو سوییچ هستند؟ یا این وسط سوییچ 8پورتی ، اکسس پوینتی ، چیزی گذاشتی ؟
دقیقا میتونی کلاینتها یا کاربرارو از هم تفکیک کنی تو سوییچ یا نه ؟
یا اقلا میتونی تشخیص بدی کی به کیه یا نه ؟
رنج آی پی تو ساختمون 2 با رنج ساختمون 1 یکی هستش؟
vlan دارید؟
بین 2 ساختمون ترانک شده ؟
رنج سرورها فرق میکنه یا نه ؟
و ....

- - - ادامه - - -

کلا یه طرح شماتیک با visio درست کن بذار اینجا دید بهتری پیدا کنیم به شبکه ات
مرسی

موضوع: امنیت در ترافیک شبکه با سوئیچ سیسکو managable

پیوند

ابزارهای موضوع

نمایش

امنیت در ترافیک شبکه با سوئیچ سیسکو managable

کلمات کلیدی در جستجوها:

نوشتن acl در سیسکو

دستور ترافیک پورت

شماتیک شبکه با visio

مدیریت متمرکز تجهیزات سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش