Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Kako projektovati Internet/intranet mrežu

[es] :: Enterprise Networking :: Kako projektovati Internet/intranet mrežu

[ Pregleda: 2281 | Odgovora: 15 ]

 Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

jevto

Član broj: 24815
Poruke: 4
213.240.48.*



Profil

icon Kako projektovati Internet/intranet mrežu17.04.2004. u 14:42

Stanje:
Firma ima predstavništvo u drugom gradu
Centrala ima iznajmljenu liniju (128K + Cisko 803)
Predstavništvo ima iznajmljenu (Wireless + Linux Router)

Potrebe:
VPN (između poslovnica + DialUp korisnici na drugim lokacijama)
Mail server
Web Server (PHP) + SQL Server u centrali

Pitanja:
- Gde postaviti mail i Web servere (kod ISP ili u firmi)
- Ako su serveri u firmi da li je protok dovoljan i kako obezbediti siguran rad

Hvala
17.04.2004. u 14:42 

B o j a n
EU

Član broj: 1178
Poruke: 2925
*.mobtel.com

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


Profil

icon Re: Kako projektovati Internet/intranet mrežu17.04.2004. u 21:14
Realizacija je vise nego trivijalna. Kvalitet vpn-a ce zavisiti od sirine linka. Na primer gore pomenuti ce izgledati stodvadesetosmokilobitno u sekundi. Postoji standardizovani protokol koji podrzava vecina OS-a danas na internetu, a ako je sudeci po cisco sec. advisories na ios-u se vrti neka modifikovana ike isakmpd verzija.

Sve sto je u sustini potrebno, papir i olovka, za savremenije ms visio ce odraditi posao.

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
17.04.2004. u 21:14 

ABSoftNet

Član broj: 766
Poruke: 100
*.beotel.net

Sajt: www.netpp.co.yu


Profil

icon Re: Kako projektovati Internet/intranet mrežu17.04.2004. u 21:57
Mogu li da pitam čime se bavi ta firma?

Još jedno pitanje? Zašto ne angažujete konsultanta(e) da Vam predlože ili reše problem?
Vladimir Vucinic
17.04.2004. u 21:57 

jevto

Član broj: 24815
Poruke: 4
213.240.48.*



Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 10:00
Citat:
ABSoftNet:
Mogu li da pitam čime se bavi ta firma?

Još jedno pitanje? Zašto ne angažujete konsultanta(e) da Vam predlože ili reše problem?


1. Veleprodajom tehničke robe

2. U onom "konsultanta(e)" i jeste problem.
Jedni kažu da se web i mail server stavi iza routera-firewala da se u njega ubace dve mrežne kartice tako da ruter propušta saobraćaj samo do web servera, a on dalje do LAN-A
Drugi kažu da se ubaci još jedna mašina sa 3 mrežne pa da se na 1. prikači router, na 2. web server i na 3. LAN
Pri tom fajl server treba da je na LAN-u i sav saobraćaj treba da se isfiltrira npr. ruter -> web -> SQL
19.04.2004. u 10:00 

markom
Marko Milivojević
Senior Network Expert, Vodafone
64°08'N - 21°56'W

Administrator
Član broj: 18427
Poruke: 3892
*.lina.net

Jabber: markom@elitesecurity.org
ICQ: 2354227
Sajt: markom.info


Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 10:34
Ovi drugi su u pravu, prvi nemaju pojma šta pričaju.

Takođe, moja preporuka bi bila da to ne bude server, već pravi firewall uređaj (za Cisco-ljubitelje PIX, ostali nek' se snalaze :-)).

Marko.
„Adminčić“

OV SM
LA PK
19.04.2004. u 10:34 

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net

ICQ: 19837045


Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 16:17
Pa realno ni jedni ni drugi nisu u pravu!
router/firewall na swich
web/mail server na swich sa javnom i privatnom adresom
svi ostali kompovi na isti swich sa privatnim adresama
i onda na ruteru izrutiras javnu adresu na web/mail serv ili uradis portforward
ali mozda za to treba cisco 7200 nisam siguran. A markom?
19.04.2004. u 16:17 

markom
Marko Milivojević
Senior Network Expert, Vodafone
64°08'N - 21°56'W

Administrator
Član broj: 18427
Poruke: 3892
*.lina.net

Jabber: markom@elitesecurity.org
ICQ: 2354227
Sajt: markom.info


Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 18:48
To je dosta loše rešenje, zato što interna mreža nije zaštićena od web servera, tj. ukoliko neko provali u web server, automatski ima pristup internoj mreži. Veoma loš dizajn.

Generalno, treba napraviti tri sigurnostne zone: spoljašnju, međuzonu i unutrašnju zonu. Ovo je osnoni trostepeni firewall dizajn.

Marko.
„Adminčić“

OV SM
LA PK
19.04.2004. u 18:48 

dpop
Dragan Đ. Popović
Brčko distrikt BiH

Član broj: 1879
Poruke: 398
*.rstel.net

Jabber: dpop@elitesecurity.org
Sajt: dragon.objectis.net


Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 20:26
Za sve je ovo najprije potrebno da se cijela postavka "slegne" u glavi ako se zeli samostalno ...u jagode....tj. ako se ima dovoljno stručnog poznavanja problematike ...o kojoj je ovdje riječ...Ako to nije slučaj, bolje je konsultovati odg. konsultante...
Za samo razvijanje ideje na papiru osim varijante olovka/papir može odlično da posluži i neka od dobro poznatim SW varijanti u formi SmartDraw, MS Visio sa odgovoarajućim setom STENCILSa o kojim smo jednom već prije pričali. Uz malo Googlanja se mogu naći recimo i isti i za Cisco koji nisu DEFAUL FREE ...Teška artiljerija je NetWiz ali on u ovom slučaju sigurno nije potreban osim ako se želi ostaviti JAČI UTISAK ...
Howdy & Stay tuned to ...ES.. :))
19.04.2004. u 20:26 

ABSoftNet

Član broj: 766
Poruke: 100
*.beotel.net

Sajt: www.netpp.co.yu


Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 23:33
Dakle,

Rešenja je mnogo... sve zavisi od Vaših potreba...

Šta je na tom "web"-u i da li Vam treba samo e-mail ili nešto drugo? Da li ste razmišljali da web i e-mail budu kod provajdera? Onda Vam treba samo firewall/router!

Još uvek mislim da je najbolje da nazovete nekoliko firmi u koje imate poverenja, porazgovarate, zatražite objašnjenje i prepustite njima da oni "lome" glavu...
Vladimir Vucinic
19.04.2004. u 23:33 

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net

ICQ: 19837045


Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 01:29
Citat:
markom:
To je dosta loše rešenje, zato što interna mreža nije zaštićena od web servera, tj. ukoliko neko provali u web server, automatski ima pristup internoj mreži. Veoma loš dizajn.

Generalno, treba napraviti tri sigurnostne zone: spoljašnju, međuzonu i unutrašnju zonu. Ovo je osnoni trostepeni firewall dizajn.

Marko.


Ili struktuiras mrezu i dobijes isto .... mada sta znam ja verovatno pix ima brdo ethernet prikljucaka koji bi u tom slucaju visili neiskorisceni al dobro to je moj problem sto ja ne mislim the kwisko way ... mozda ne vidim buducnost u tome.

A opet zaboravljam da se mikrosoft i kwisko vole tako da mi je jasno zasto podrazumevas da web server bude hakovan ali nesto me zanima o network mastermind-u kako mislis da neko dobije pristup toj masini na taj nacin da moze da ugrozi ostatak mreze ako ti na firewallu dozvoljavas sta moze a sta ne ka njemu da prodje ili iz njega izadje? (ovde je bitno da napomenem da su prosla vremena logovanja na matricni stampac zato sto ti redovno upada lik jer ti volis jelte bind) Ili podrazumevas da o veliki pix moze biti hackovan? A uz sve ovo moze da se napakuje i upravljivi swich ...
20.04.2004. u 01:29 

markom
Marko Milivojević
Senior Network Expert, Vodafone
64°08'N - 21°56'W

Administrator
Član broj: 18427
Poruke: 3892
*.lina.net

Jabber: markom@elitesecurity.org
ICQ: 2354227
Sajt: markom.info


Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 09:05
Pa vidi, struktruirana mreža je tačno ono što ti ne predlažeš:

Code:

{internet}
   [fw]
    |
   [sw]---+--------+...
    |     |        |
  [WEB] [LAN-1] [LAN-2]


Bez obzira što ćeš da staviš interne adrese na LAN-x računare, oni će uvek da budu dostupni preko nižeg sloja (L2), dakle, potpuno je isto da li si stavio interne ili eksterne adrese - ništa nisi postigao.

Što se tiče pretpostavke da će web server biti provaljen, nisu svi administratori genijalci kao što pokušavaju da se predstave svetu. Dakle, pretpostavka da će nešto da krene kako ne treba je pretpostavka kojom se treba voditi u dizajnu dobrih mreža. Kao što ti očigledno već znaš, neki od nas su se opekli još '97 :-).

Naravno, sve ovo iznad nije ni Microsoftova ni Ciscova izmišljotina, već best practice već godinama u ozbiljno projektovanim mrežama. Ja sam spomenuo PIX za Cisco ljubitelje. Ko ne želi da se bakće sa PIX-om, naravno, može da reši problem i sa drugim tipom firewalla (Nokia, Checkpoint, Linux, pa čak i ISA).

Poenta je u logičkoj podeli mreže na tri segmenta, kao što spomenuh u prethodnoj poruci.

Marko.
„Adminčić“

OV SM
LA PK
20.04.2004. u 09:05 

jevto

Član broj: 24815
Poruke: 4
213.240.48.*



Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 10:00
Citat:
markom:
Pa vidi, struktruirana mreža je tačno ono što ti ne predlažeš:

Code:

{internet}
   [fw]
    |
   [sw]---+--------+...
    |     |        |
  [WEB] [LAN-1] [LAN-2]



Ok na to nisam ni pomišljao.
Varijantom sa PIX zasad otpada :(

Znači i dalje ostaje:

a)
Code:

{internet}
   [fw]
    |
    |-----[sw]-----+--------+...
    |      |       |        |
  [WEB]   [SQL][LAN-1] [LAN-2]

b)
Code:

{internet}
   [fw]
    |
  [PC]---[sw]-----+--------+...
    |       |     |        |
  [WEB]   [SQL][LAN-1] [LAN-2]


c)
Code:

  [WEB]
    |
{internet}
    |
   [fw]
    |
    |-----[sw]-----+--------+...
    |       |      |        |
  [SQL]  [LAN-1] [LAN-2]


[ mod markom: ASCII art fixup ]

[Ovu poruku je menjao markom dana 20.04.2004. u 11:14 GMT]
20.04.2004. u 10:00 

markom
Marko Milivojević
Senior Network Expert, Vodafone
64°08'N - 21°56'W

Administrator
Član broj: 18427
Poruke: 3892
*.lina.net

Jabber: markom@elitesecurity.org
ICQ: 2354227
Sajt: markom.info


Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 10:13
Manje-više B je ono o čemu sa ja pričao. S tim da ja pod "fw" podrazumevam firewall (dakle, neki uređaj koji u najmanju ruku radi IP filtering, mada su stateful firewalli definitivno bolje rešenje). U tvom crtežu, to je efektivno PC. Ako bolje pogledaš, imaš tri logička dela mreže: Spoljašnji (na gore), unutrašnji (desno) i međuprostor (u literaturi često nazivan DMZ - demilitarized zone), gde ti je web server.

Marko.
„Adminčić“

OV SM
LA PK
20.04.2004. u 10:13 

dpop
Dragan Đ. Popović
Brčko distrikt BiH

Član broj: 1879
Poruke: 398
81.94.9.*

Jabber: dpop@elitesecurity.org
Sajt: dragon.objectis.net


Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 17:14
FreeBSD PF ili Linux/Firewall sa DMZ sekcijom za neki Shorewall ili namjenski FW sa recimo MNF v.8.2 downloadable edition će tu da odradi sve na opšte zadovoljstvo. I IPCop je zadovoljavajući za takve potrebe ....I on ima DMZ sekciju koja je u ovoj situaciji preporučljiva iz više a posebno SECURITY razloga... Kvalitetno, pouzdano i što je nezanemarljivo dosta brzo za realizovati rješenje...Uvijek sam zagovarao Linux FW u odnosu na HW FW iz razloga fleksibilnosti i nezanemarljivih finansijskih ušteda....

O performansama se može diskutovati ali po net testovima je recimo ASTARO približan PIX - u odg. klasi HW...

Lično sam već duže vremena zadovolni korisnik jednog od ovih rješenja na prilično velikoj mreži...
Howdy & Stay tuned to ...ES.. :))
20.04.2004. u 17:14 

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net

ICQ: 19837045


Profil

icon Re: Kako projektovati Internet/intranet mrežu21.04.2004. u 13:51
Kao sto rekoh da se ne bi komplikovalo sa kablovima i 5 mreznih kartica uzme se upravljivi swich i na njemu struktuiras mrezu ...
21.04.2004. u 13:51 

Djaki
Djakovic Vedran
Trazim posao ;)
Beograd

Član broj: 494
Poruke: 234
*.bg.wifi.vline.verat.net

ICQ: 199500923


Profil

icon Re: Kako projektovati Internet/intranet mrežu21.04.2004. u 16:40
Citat:
jevto:
Stanje:
Firma ima predstavništvo u drugom gradu
Centrala ima iznajmljenu liniju (128K + Cisko 803)
Predstavništvo ima iznajmljenu (Wireless + Linux Router)

Potrebe:
VPN (između poslovnica + DialUp korisnici na drugim lokacijama)
Mail server
Web Server (PHP) + SQL Server u centrali

Pitanja:
- Gde postaviti mail i Web servere (kod ISP ili u firmi)
- Ako su serveri u firmi da li je protok dovoljan i kako obezbediti siguran rad

Hvala



128k je malo za drzanje web servera lokalno, pitanje je da li ce biti dovoljno i za ostale servise (mail, surf) kad dignete VPN.
Sama konfiguracija i zastita lokalnih servera (SQL, mail, web, firewall...) od upada, virusa, spama i sl. kao sto si mogao da vidis iz prethodnih postova, zahteva poprilicno znanje, vreme i novac a kad se realizuje zahteva strucno odrzavanje (jos novca)...
Po sadasnjem stanju stvari najbolje bi bilo da site (sa bazom na koju repliciras podatke iz centrale) i mail hostujete kod providera a lokalno drzite mail server koji bi razvrstavao postu po lokalnim userima.
Cak ako nakon par meseci "prerastete" ovakvo resenje, u sto sumnjam, ne radi se o nekoj teskoj investiciji i gubitku.
You talking' to me?
21.04.2004. u 16:40 

[es] :: Enterprise Networking :: Kako projektovati Internet/intranet mrežu

[ Pregleda: 2281 | Odgovora: 15 ]

 Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.