צהריים טובים ,

רציתי לשאול , מה הדרכים המומלצות לאבטחה של רשת אלחוטית בארגון ( שיש בה גישה ל LAN כמובן .. ) ?

איך באמת כדאי להגדיר את הנושא בשביל להביא את הרשת האלחוטית , אם לא לרמת אבטחה כמו ברשת קוית , אז לפחות למצב הכי קרוב שאפשר ...

IF there is no LOVE there is Nothing

שווה לבדוק את פתרון האבטחה שיש לסיסקו להציע:
http://www.cisco.com/web/IL/products/wireless.html

ומדוע שברשת האלחוטית תהיה גישה ל LAN? מה דעתך על רשת אלחוטית שמובילה סתם לאינטרנט, ושהלקוחות המעוניינים להשתמש בה לצורכי גישה ל LAN ישתמשו בפתרון ה VPN שבו משתמשת החברה? (שידמיינו שהם בבית רק יותר מהיר...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

אוקיי. זה דווקא פתרון טוב . טוב מאוד אפילו ...

אבל זה מספק אותי רק לגבי מחשבים.


אם אפשר אני אפנה את השאלה לאפיק שונה :

נניח ואני רוצה להכניס לשימוש מערכת של VOIP , שתהיה ב LAN ואני רוצה שטלפונים סלולריים בתוך החברה , בעלי חיבור WIFI יתחברו אליו ויבצעו את השיחות הפנימיות של החברה לסניפים בחו"ל דרך המערכת.

לא ניכנס לעניין ה VOIP , כל זה עובד כרגע , רק הבעיה שלי היא שאני לא יודע עד כמה זה מאובטח.

מה מומלץ במקרה כזה ?

IF there is no LOVE there is Nothing

מערכת ה VoIP שלך רצה על תשתית ה LAN שלך? או שסתם יש קישוריות כזו?

מה דעתך על לשים את מערכת ה VoIP (ואת נקודות הגישה האלחוטיות) על מתג משלהן, טווח IP משלהן, מחובר ליציאה אחרת של הפיירוול, ולאפשר גישה מה LAN לסגמנט הזה דרך הפיירוול (כמובן בתנאי שהוא Stateful ויודע לעקוב אחרי פרוטוקול SIP ולפתוח דינאמית את הפורטים הרצויים...) - כל זאת בהנחה שאתה בכלל עובד עם softphones (אם לא, בשביל מה המרכזיה צריכה להיות על ה LAN של החברה?)

נמאס לכם לזכור סיסמאות? לחצו כאן!

זאת איזה קופסא עם asterisk לדעתי , שפשוט מחוברת ל LAN.

חשוב שהן יהיו ב LAN כדי שזה יעבוד נורמלי.

רוב העניין זה להרים מערכות דומות בסניפים בחו"ל , ואז לחסוך את עלות השיחות הבינלאומיות בתוך החברה.

הסניפים בחו"ל מחוברים ב VPN site to site עם קוי נל"ן לחלק מהם , ומן הסתם זה יעבוד יותר טוב דרך ה LAN.

אחרת איך אפשר לעשות את זה ?

IF there is no LOVE there is Nothing

אתה באמת חושב של VPN site2site משנה מאיזה ממשק של הפיירוול הוא מעביר את התעבורה?

אין שום הבדל בפיירוול מבחינת כרטיסי הרשת השונים. מצידי תקרא לכרטיס שאליו מחובר האסטריסק LAN2 אם זה נותן לך הרגשה טובה - החוקים בפיירוול זה הדבר היחיד שמשנה.

חוצמזה, שבלי שום קשר לכך, אתה יכול לבנות תשתית VPN נפרדת לתעבורה הזאת - פשוט ישירות דרך השרתים (עם חורים מתאימים בפיירוולים הרלוונטיים...) - כך סביר להניח שתחסוך לעצמך הרבה כאב ראש. במיוחד אם ה site2site שלך מבוסס צ'קפויינט.

אה, ועוד משהו. אני מקווה שאתה מכיר את IAX2 - זה כל כך הרבה יותר נוח מלהקים את ה Trunk-ים ב SIP.

ועוד משהו (טיפ ממי שכבר עשה את זה) - הניסוי שלך מועד לכישלון אם יש מצבים שבהם הקו שלך מתמלא בכיוון כלשהוא. אתה צריך QoS לכל כיוון תקשורת שבו הקו עלול להתמלא. אם אתה שואל אותי, ייתכן שפשוט עדיף להשיג רוחב פס פרטי לתקשורת בין מכונות האסטריסק (השאלה היא אם זה יהיה יותר זול).

כמובן שכל הדיבורים כאן כלליים מאוד, אני לא מכיר את התשתית המסויימת שלך...

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן זה צ'קפוינט ... מה כוונה ישירות דרך השרתים ?

לא אני לא מכיר IAX2 , אשמח ללמוד , יש לך חומר מסוים לגבי זה או שאני פשוט אחפש ?

ואם באמת תהיה בעיה של רוחב פס , בעזרת מה כדאי לעשות את ה Qos ?

IF there is no LOVE there is Nothing

הכוונה היא שתרים למשל קישור באמצעות משהו כמו openvpn בין המרכזיות שצריכות לדבר אחת עם השנייה, כי כל שאתה צריך זה פורט UDP נכנס אחד, שאותו אתה כמובן יכול להגביל רק לכתובות ה IP שמולם כל מכונה עובדת. זה יהיה, לעניות דעתי, הרבה יותר יציב מה tunnel של צ'קפויינט (כמובן שנגד תקלות סתמיות ואיטיות הנובעת מצ'קפויינט אין מה לעשות כל עוד אתה משתמש במוצר...)

לגבי IAX2:
http://www.voip-info.org/wiki/view/IAX

לגבי QoS: יש הרבה מוצרים בשוק, אתה צריך משהו שיודע לעבוד ביציאה החוצה מהאינטרנט, כי פתרון QoS חייב לראות את כל התעבורה שלך כדי לפעול כראוי... יש מי שמריץ את ה QoS על הפיירוול שלו, השאלה היא כמה מוצלח המימוש בפיירוול שאתה משתמש בו...

נמאס לכם לזכור סיסמאות? לחצו כאן!