Citat:
Okram_marko: Prije svega zahvaljujem na odgovoru.
Najbolje bi bilo gasiti router kada nije u upotrebi :P hehe. A sta ces mu.. :-) Koliko je dobro rijesenje postaviti CISCO 1800 router na ulaz i firewall koji preporucujete na izlaz (prema switch-u)?? Taj router ima neki firewall u sebi.
OK je to sprava. Malo, ali malo losiji firewall nego ASA. Sasvim dovoljno za takvu mrezu, pod uslovom da uzmes licencu koja ima i firewall u sebi. Problem je sto ce te cisco 1800 kostati dosta vise - mada on i moze dosta toga vise.
Citat:
Na kupovinu cega si ovdje konkretno mislio??
Licence. Zato i zamerka na Win Enterprise. Jako je skup.
Citat:
Ja bih podigao server na kojeg se mogu logirati korisnici (centralizovan login, profili na serveru i slicno) i file sharing. Mislim da bi sa ovim logiranjem korisnika imao manje sanse za upadom u server. Bolje receno, mislim da bi imao vecu sigurnost od upada sa korisnickih racunara.
Stoji. Vodi racuna, za samo centralizovan login ti je i Samba dovoljna. To nije mala usteda na licencama, ako ti Win server ne treba. Dobro razmisli kuda mreza ide i na sta ces trositi novac.
Citat:
U ovom bi slucaju firewall na ulazu dobro rijesio stvar. Meni je bitno da imam odvojen intranet i extranet. Odvojen sto je bolje moguce. Pored firewall-a, sto jos preporucujes?
Imam gore navedeni router kojeg bi podesio (jos nisam) i kupio bi jos firewall.
Ako imas Cisco 1800 onda radi sa njim.... Tj. vidi koji softver imas, pa ako imas na njemu firewall, koristi ga, ako ne onda vidi da li ti je jevtinije da dokupis bolji IOS ili da kupis ASA-u. Ako je razlika mala, onda ASA nije lose resenje jer jeste bezbednija.
Citat:
Evo ovako, napravio sam neku shemu kako bi to moglo ici. Slika je u prilogu.
Mislim da ubacim autentifikaciju (radius server) tako da kada god korisnik hoce izlaz na internet, mora se autentificirati putem tog servera. Naravno, autentifikacija izvan mreze (sa interneta) nece biti moguca.
Cak i kada je korisnik na internetu, netko tko napada morat ce pogoditi pravi trenutak (kada korisnik surfa), proci firewall i sve ostale zastite. Mislim da bi ovo moglo biti dobro rijesenje.
Mislim da ovo malo previse smara korisnike - do te mere da ce rad biti neupotrebljiv. Radius, 802.1x ili bilo koja autentifikacija imaju smisla samo ako ne znas ko moze da se uloguje - u Lan-u od 10 ljudi to nema nikakvog smisla. Dalje, dva uredjaja za autentifikaciju ledja u ledja nemaju smisla - izbaci taj MT, to moze sve da radi i firewall.
Samo dobro obezbedi te desktope i ne brini. Uvedi im obavezan AV, anti-spyware i slicno. To je dovoljno za sve razumne primene. Za nesto teze od toga, jedina ti je preporuka da im iseces internet skroz. Ja mislim da ti je dobro podesen ruter, firewall sasvim dovoljan, uz dobro podesene i odrzavane desktope.
Please do not feed the Trolls!
Blasphemy? How can I blaspheme? I'm a god!'