информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыЗа кого нас держат?Атака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Нету отделов > 32, но дело, имхо, чуть сложнее 16.07.07 12:10  Число просмотров: 2839
Автор: jiZo <Александр> Статус: Member
Отредактировано 16.07.07 12:11  Количество правок: 1
<"чистая" ссылка>
> Если отделов около 8, то лучше так: адресный пул сети
> класса С бьем по 32, 192.168.0.1-192.168.0.31 прод
> шлюз,серваки, автоматизаторов, 192.168.0.32-192.168.0.63
> под первый отдел и т.д. через статику или DHCP по макам, но
> маску оставляем 24! В этом случае остается возможность
> чтобы компы видели друг друга и серваки без лишних шлюзов и
> маршрутизаторов, и админ будет легко видеть всех напрямую.
> Даже в АтГварде (крошечный файрвол, который пользую) есть
> включение правил по времени/расписанию, а в правиле можно
> задать диапазон адресов. Что-то подобное и ставим на шлюз.
> Касаемо разделения доступа отдела к отделу, то это следует
> решать не на уровне АиПи, а намного выше.

собираюсь DHCP по макам

> > нужно всему этому делу предоставить выход в интернет
> по
> > требуется, чтобы подсети не видели друг друга, одна
> подсеть
> > могла видеть вторую и обратно и одна, которая бы
> видела
> > всех.
>
> Вам что, жалко что они пинганут друг друга? Если комп
> слишком персональный и админ его "не админит", то что он
> там и кому у себя разрешит - его проблема, но чтоб он сам
> куда залез - паролики надо знать, причем без разницы будь
> то со своего компа (ноутбука, например), будь то с
> корпоративного.
Ну как сказать, в общем жалко :) Просто два, назовем их, отдела имеют по 20 машин которые неконтролируется и доступ к которым есть у абсолютно левых людей, причем некоторые из них заинтересованы в информации и т.п. находящиеся в др. отделах. Лучше перестраховаться.

> И ни чего для этого не надо. В противном случае можно
> усложнить жизнь только себе. А разделять доступ следует не
> на протоколах низкого уровня. А сетка должна быть
> достаточно хорошо защищена и из нутри от инсайдеров.
> Расслабляться и давать всем админские права нельзя.
>
Вот как раз я и хочу сделать как проще... что бы и надежно и после наладки всего этого дела жизнь заметно бы упростилась.
Сейчас здесь примерно так, как Вы описали, только все очень запущенно и более криво сделано, безопасность и все остальное не то что 0, а в минусе вообще.

Вариант предложенный Ustin меня заинтересовал, простой, надежный, реальный.... Изначально сам хотел примерно такой вариант, только вместо комутатора с vlan воткнуть маршрутизатор и маршрутизацией отгородить подсети и т.п. Но не знал в принципе насколько это реально и какое оборудование для этого нужно.
<networking> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach