Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Kako projektovati Internet/intranet mrežu

[es] :: Enterprise Networking :: Kako projektovati Internet/intranet mrežu

[ Pregleda: 5520 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

jevto

Član broj: 24815
Poruke: 4
213.240.48.*



Profil

icon Kako projektovati Internet/intranet mrežu17.04.2004. u 14:42 - pre 220 meseci
Stanje:
Firma ima predstavništvo u drugom gradu
Centrala ima iznajmljenu liniju (128K + Cisko 803)
Predstavništvo ima iznajmljenu (Wireless + Linux Router)

Potrebe:
VPN (između poslovnica + DialUp korisnici na drugim lokacijama)
Mail server
Web Server (PHP) + SQL Server u centrali

Pitanja:
- Gde postaviti mail i Web servere (kod ISP ili u firmi)
- Ako su serveri u firmi da li je protok dovoljan i kako obezbediti siguran rad

Hvala
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.mobtel.com

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: Kako projektovati Internet/intranet mrežu17.04.2004. u 21:14 - pre 220 meseci
Realizacija je vise nego trivijalna. Kvalitet vpn-a ce zavisiti od sirine linka. Na primer gore pomenuti ce izgledati stodvadesetosmokilobitno u sekundi. Postoji standardizovani protokol koji podrzava vecina OS-a danas na internetu, a ako je sudeci po cisco sec. advisories na ios-u se vrti neka modifikovana ike isakmpd verzija.

Sve sto je u sustini potrebno, papir i olovka, za savremenije ms visio ce odraditi posao.


"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

ABSoftNet

Član broj: 766
Poruke: 100
*.beotel.net

Sajt: www.netpp.co.yu


Profil

icon Re: Kako projektovati Internet/intranet mrežu17.04.2004. u 21:57 - pre 220 meseci
Mogu li da pitam čime se bavi ta firma?

Još jedno pitanje? Zašto ne angažujete konsultanta(e) da Vam predlože ili reše problem?
Vladimir Vucinic
 
Odgovor na temu

jevto

Član broj: 24815
Poruke: 4
213.240.48.*



Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 10:00 - pre 220 meseci
Citat:
ABSoftNet:
Mogu li da pitam čime se bavi ta firma?

Još jedno pitanje? Zašto ne angažujete konsultanta(e) da Vam predlože ili reše problem?


1. Veleprodajom tehničke robe

2. U onom "konsultanta(e)" i jeste problem.
Jedni kažu da se web i mail server stavi iza routera-firewala da se u njega ubace dve mrežne kartice tako da ruter propušta saobraćaj samo do web servera, a on dalje do LAN-A
Drugi kažu da se ubaci još jedna mašina sa 3 mrežne pa da se na 1. prikači router, na 2. web server i na 3. LAN
Pri tom fajl server treba da je na LAN-u i sav saobraćaj treba da se isfiltrira npr. ruter -> web -> SQL
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.lina.net

Sajt: https://markom.rs


+16 Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 10:34 - pre 220 meseci
Ovi drugi su u pravu, prvi nemaju pojma šta pričaju.

Takođe, moja preporuka bi bila da to ne bude server, već pravi firewall uređaj (za Cisco-ljubitelje PIX, ostali nek' se snalaze :-)).

Marko.
 
Odgovor na temu

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net



Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 16:17 - pre 220 meseci
Pa realno ni jedni ni drugi nisu u pravu!
router/firewall na swich
web/mail server na swich sa javnom i privatnom adresom
svi ostali kompovi na isti swich sa privatnim adresama
i onda na ruteru izrutiras javnu adresu na web/mail serv ili uradis portforward
ali mozda za to treba cisco 7200 nisam siguran. A markom?
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.lina.net

Sajt: https://markom.rs


+16 Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 18:48 - pre 220 meseci
To je dosta loše rešenje, zato što interna mreža nije zaštićena od web servera, tj. ukoliko neko provali u web server, automatski ima pristup internoj mreži. Veoma loš dizajn.

Generalno, treba napraviti tri sigurnostne zone: spoljašnju, međuzonu i unutrašnju zonu. Ovo je osnoni trostepeni firewall dizajn.

Marko.
 
Odgovor na temu

dpop
Dragan Đ. Popović
VBD, IT
Brčko distrikt BiH

Član broj: 1879
Poruke: 400
*.rstel.net

Jabber: dpop@elitesecurity.org
Sajt: dragon.objectis.net


Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 20:26 - pre 220 meseci
Za sve je ovo najprije potrebno da se cijela postavka "slegne" u glavi ako se zeli samostalno ...u jagode....tj. ako se ima dovoljno stručnog poznavanja problematike ...o kojoj je ovdje riječ...Ako to nije slučaj, bolje je konsultovati odg. konsultante...
Za samo razvijanje ideje na papiru osim varijante olovka/papir može odlično da posluži i neka od dobro poznatim SW varijanti u formi SmartDraw, MS Visio sa odgovoarajućim setom STENCILSa o kojim smo jednom već prije pričali. Uz malo Googlanja se mogu naći recimo i isti i za Cisco koji nisu DEFAUL FREE ...Teška artiljerija je NetWiz ali on u ovom slučaju sigurno nije potreban osim ako se želi ostaviti JAČI UTISAK ...
Howdy & Stay tuned to ...ES.. :))
 
Odgovor na temu

ABSoftNet

Član broj: 766
Poruke: 100
*.beotel.net

Sajt: www.netpp.co.yu


Profil

icon Re: Kako projektovati Internet/intranet mrežu19.04.2004. u 23:33 - pre 220 meseci
Dakle,

Rešenja je mnogo... sve zavisi od Vaših potreba...

Šta je na tom "web"-u i da li Vam treba samo e-mail ili nešto drugo? Da li ste razmišljali da web i e-mail budu kod provajdera? Onda Vam treba samo firewall/router!

Još uvek mislim da je najbolje da nazovete nekoliko firmi u koje imate poverenja, porazgovarate, zatražite objašnjenje i prepustite njima da oni "lome" glavu...
Vladimir Vucinic
 
Odgovor na temu

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net



Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 01:29 - pre 220 meseci
Citat:
markom:
To je dosta loše rešenje, zato što interna mreža nije zaštićena od web servera, tj. ukoliko neko provali u web server, automatski ima pristup internoj mreži. Veoma loš dizajn.

Generalno, treba napraviti tri sigurnostne zone: spoljašnju, međuzonu i unutrašnju zonu. Ovo je osnoni trostepeni firewall dizajn.

Marko.


Ili struktuiras mrezu i dobijes isto .... mada sta znam ja verovatno pix ima brdo ethernet prikljucaka koji bi u tom slucaju visili neiskorisceni al dobro to je moj problem sto ja ne mislim the kwisko way ... mozda ne vidim buducnost u tome.

A opet zaboravljam da se mikrosoft i kwisko vole tako da mi je jasno zasto podrazumevas da web server bude hakovan ali nesto me zanima o network mastermind-u kako mislis da neko dobije pristup toj masini na taj nacin da moze da ugrozi ostatak mreze ako ti na firewallu dozvoljavas sta moze a sta ne ka njemu da prodje ili iz njega izadje? (ovde je bitno da napomenem da su prosla vremena logovanja na matricni stampac zato sto ti redovno upada lik jer ti volis jelte bind) Ili podrazumevas da o veliki pix moze biti hackovan? A uz sve ovo moze da se napakuje i upravljivi swich ...
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.lina.net

Sajt: https://markom.rs


+16 Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 09:05 - pre 220 meseci
Pa vidi, struktruirana mreža je tačno ono što ti ne predlažeš:

Code:

{internet}
   [fw]
    |
   [sw]---+--------+...
    |     |        |
  [WEB] [LAN-1] [LAN-2]


Bez obzira što ćeš da staviš interne adrese na LAN-x računare, oni će uvek da budu dostupni preko nižeg sloja (L2), dakle, potpuno je isto da li si stavio interne ili eksterne adrese - ništa nisi postigao.

Što se tiče pretpostavke da će web server biti provaljen, nisu svi administratori genijalci kao što pokušavaju da se predstave svetu. Dakle, pretpostavka da će nešto da krene kako ne treba je pretpostavka kojom se treba voditi u dizajnu dobrih mreža. Kao što ti očigledno već znaš, neki od nas su se opekli još '97 :-).

Naravno, sve ovo iznad nije ni Microsoftova ni Ciscova izmišljotina, već best practice već godinama u ozbiljno projektovanim mrežama. Ja sam spomenuo PIX za Cisco ljubitelje. Ko ne želi da se bakće sa PIX-om, naravno, može da reši problem i sa drugim tipom firewalla (Nokia, Checkpoint, Linux, pa čak i ISA).

Poenta je u logičkoj podeli mreže na tri segmenta, kao što spomenuh u prethodnoj poruci.

Marko.
 
Odgovor na temu

jevto

Član broj: 24815
Poruke: 4
213.240.48.*



Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 10:00 - pre 220 meseci
Citat:
markom:
Pa vidi, struktruirana mreža je tačno ono što ti ne predlažeš:

Code:

{internet}
   [fw]
    |
   [sw]---+--------+...
    |     |        |
  [WEB] [LAN-1] [LAN-2]



Ok na to nisam ni pomišljao.
Varijantom sa PIX zasad otpada :(

Znači i dalje ostaje:

a)
Code:

{internet}
   [fw]
    |
    |-----[sw]-----+--------+...
    |      |       |        |
  [WEB]   [SQL][LAN-1] [LAN-2]

b)
Code:

{internet}
   [fw]
    |
  [PC]---[sw]-----+--------+...
    |       |     |        |
  [WEB]   [SQL][LAN-1] [LAN-2]


c)
Code:

  [WEB]
    |
{internet}
    |
   [fw]
    |
    |-----[sw]-----+--------+...
    |       |      |        |
  [SQL]  [LAN-1] [LAN-2]


[ mod markom: ASCII art fixup ]

[Ovu poruku je menjao markom dana 20.04.2004. u 11:14 GMT]
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.lina.net

Sajt: https://markom.rs


+16 Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 10:13 - pre 220 meseci
Manje-više B je ono o čemu sa ja pričao. S tim da ja pod "fw" podrazumevam firewall (dakle, neki uređaj koji u najmanju ruku radi IP filtering, mada su stateful firewalli definitivno bolje rešenje). U tvom crtežu, to je efektivno PC. Ako bolje pogledaš, imaš tri logička dela mreže: Spoljašnji (na gore), unutrašnji (desno) i međuprostor (u literaturi često nazivan DMZ - demilitarized zone), gde ti je web server.

Marko.
 
Odgovor na temu

dpop
Dragan Đ. Popović
VBD, IT
Brčko distrikt BiH

Član broj: 1879
Poruke: 400
81.94.9.*

Jabber: dpop@elitesecurity.org
Sajt: dragon.objectis.net


Profil

icon Re: Kako projektovati Internet/intranet mrežu20.04.2004. u 17:14 - pre 220 meseci
FreeBSD PF ili Linux/Firewall sa DMZ sekcijom za neki Shorewall ili namjenski FW sa recimo MNF v.8.2 downloadable edition će tu da odradi sve na opšte zadovoljstvo. I IPCop je zadovoljavajući za takve potrebe ....I on ima DMZ sekciju koja je u ovoj situaciji preporučljiva iz više a posebno SECURITY razloga... Kvalitetno, pouzdano i što je nezanemarljivo dosta brzo za realizovati rješenje...Uvijek sam zagovarao Linux FW u odnosu na HW FW iz razloga fleksibilnosti i nezanemarljivih finansijskih ušteda....

O performansama se može diskutovati ali po net testovima je recimo ASTARO približan PIX - u odg. klasi HW...

Lično sam već duže vremena zadovolni korisnik jednog od ovih rješenja na prilično velikoj mreži...
Howdy & Stay tuned to ...ES.. :))
 
Odgovor na temu

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net



Profil

icon Re: Kako projektovati Internet/intranet mrežu21.04.2004. u 13:51 - pre 220 meseci
Kao sto rekoh da se ne bi komplikovalo sa kablovima i 5 mreznih kartica uzme se upravljivi swich i na njemu struktuiras mrezu ...
 
Odgovor na temu

djk494

Član broj: 494
Poruke: 320
*.bg.wifi.vline.verat.net



+39 Profil

icon Re: Kako projektovati Internet/intranet mrežu21.04.2004. u 16:40 - pre 220 meseci
Citat:
jevto:
Stanje:
Firma ima predstavništvo u drugom gradu
Centrala ima iznajmljenu liniju (128K + Cisko 803)
Predstavništvo ima iznajmljenu (Wireless + Linux Router)

Potrebe:
VPN (između poslovnica + DialUp korisnici na drugim lokacijama)
Mail server
Web Server (PHP) + SQL Server u centrali

Pitanja:
- Gde postaviti mail i Web servere (kod ISP ili u firmi)
- Ako su serveri u firmi da li je protok dovoljan i kako obezbediti siguran rad

Hvala



128k je malo za drzanje web servera lokalno, pitanje je da li ce biti dovoljno i za ostale servise (mail, surf) kad dignete VPN.
Sama konfiguracija i zastita lokalnih servera (SQL, mail, web, firewall...) od upada, virusa, spama i sl. kao sto si mogao da vidis iz prethodnih postova, zahteva poprilicno znanje, vreme i novac a kad se realizuje zahteva strucno odrzavanje (jos novca)...
Po sadasnjem stanju stvari najbolje bi bilo da site (sa bazom na koju repliciras podatke iz centrale) i mail hostujete kod providera a lokalno drzite mail server koji bi razvrstavao postu po lokalnim userima.
Cak ako nakon par meseci "prerastete" ovakvo resenje, u sto sumnjam, ne radi se o nekoj teskoj investiciji i gubitku.
 
Odgovor na temu

[es] :: Enterprise Networking :: Kako projektovati Internet/intranet mrežu

[ Pregleda: 5520 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.