ניתן להקים רשת מקומית שבה שרת מרכזי שיכול לשדר ליתר העמדות, אך למנוע מהן לפנות אליו או אחת אל השנייה באופן טוטאלי (בלי חורי אבטחה)?

כן

1. שמים כל עמדה על פורט נפרד במתג שתומך ב VLAN ו VLAN Tagging (כלומר 802.1q) ומגדירים על כל פורט VLAN נפרד
2. את השרת שמים על פורט trunk שמעביר את כל ה VLAN-ים של כל התחנות
3. בשרת מגדירים כתובת IP על כל אחד ואחד מה VLAN-ים שעוברים ב trunk
4. לכל מכונה נותנים לגשת לשרת דרך כתובת ה IP המתאימה ל VLAN שדרכו הוא מחובר
5. בשרת המרכזי דואגים שיהיה פיירוול שיאפשר גישה רק לשירותים הרצויים, ומוודאים ש IP Routing כבוי

נראה לי אמור להספיק.

כדי שלא יהיו חורי אבטחה באופן "טוטאלי", צריך להבטיח שבפיירוול אין חורי אבטחה, ב Networking stack של מערכת ההפעלה ושל המתג אין חורי אבטחה, ושבאפליקציות שהפיירוול כן מאפשר לגשת אליהן, אין חורי אבטחה. אני רוצה לראות את מי שיחתום לך על כל הנ"ל...

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה רבה!!!

מה כוונה "יחתום על כל הנ"ל"?

הכוונה היא שלא ניתן להבטיח שאין חורי אבטחה. רובם המוחלט של החורים נובע משגיאות של מתכנתים, ולא מהכנסה זדונית. לפעמים עוברות שנים עד שחור אבטחה מתגלה באופן פומבי ומתוקן (ולא תמיד מתקנים אותו...) - ובזמן הזה מישהו שגילה אותו באופן פרטי, יכול לנצל אותו, בלי שאף אחד יודע שהוא קיים...

לכן ההגנה הטובה ביותר היא להשתמש בחומרה/תוכנה מיצרנים עם רקע טוב בתחום האבטחה, שמתגלים אצלם בין מעט לכלום בעיות אבטחה באופן כללי, ובמוצרים שכתובים בצורה "נכונה" כחלק ממדיניות (למשל input validation אוטומטי על כל מידע שנכנס לעיבוד בתוכנה, אפילו אם נראה שלא צריך, וכו'..)

נמאס לכם לזכור סיסמאות? לחצו כאן!

אוקיי תודה...

האם באופן טכני ניתן שיהיו מספר רשתות מקומיות פיזיות שלכל אחת ראוטר נפרד ושהשרת המדובר יחבר את כל הרשתות המקומיות האלה ברשת מקומית גדולה יותר (כך שהשרת יוצב לפני הנתב)?

כל טופולוגיה היא אפשרית...

לא שאני מבין מה בדיוק אתה מנסה לעשות...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני לא בטוח שהקטע פה הוא של טופולוגיה בדיוק, ואני יודע שאתה לא מבין מה אני מנסה לעשות כי אני לא בטוח שעשו את זה. אני אנסה להסביר את עצמי טוב יותר:

נגיד שיש מספר רשתות מקומיות (נניח כי מדובר בבניין דירות שבו לכל משפחה רשת מקומית), האם ניתן לחבר את "הבניין" לרשת מקומית גדולה יותר, שתכיל את כל הרשתות המקומיות האחרות (את כל המשפחות), כך שהן יהיו ברשת עם הרשת עליו דיברתי (שהשידור בו הוא חד כיווני ושאר הרשתות המקומיות, אלה של כל משפחה, לא יכולות לפנות משפחות האחרות)?
איך עושים כזה דבר?

מחברים לכל אחת ראוטר פשוט, ואת יציאות ה WAN של כל הראוטרים מרכזים בסוויצ' בודד, שאותו מחברים לראוטר שמחובר לאינטרנט. כל הראוטרים יהיו כמו תחנות קצה עבור הראוטר הראשי.

כמובן, שתקשורת בין הרשתות שמאחורי כל הראוטרים תהיה חסומה כל עוד שלא ביצעו הפניות פורטים פנימה...

קח בחשבון שבטופולוגיה כזו, הראוטר המרכזי לא יאפשר כניסת חיבורים מהאינטרנט, ואם ראוטר פנימי ירצה אפשרות שתיכנס אליו תעבורה מהאינטרנט לפורט מסויים, מישהו יצטרך להגדיר את ההפנייה בראוטר המרכזי לכיוון הראוטר הפנימי.

כמו כן, עדיף שלא תשתמש במילה "שידור", היא לא רלוונטית כאן, והיא גם לא נכונה טכנית לרשת האינטרנט באופן כללי (יש את Multicast וחברים, אבל אני סבור שאתה לא מדבר על זה...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

עזרת לי מאוד!!!