אני לא בטוח שלכולם יהיה את הכח לקרא את הסיפור המורכב הזה אבל אולי למישהו זה יהיה לתועלת .

הקדמה כדי שתבינו למה כל הסיפור הזה
בתי הספר בארץ מחוברים לרשת שנקראת "קישורים לעתיד" של משרד החינוך
http://cms.education.gov.il/Educati...as/Kishurim.htm
מדובר ברשת סגורה של בזק בינלאומי שבה כולם מתחברים במעין VPN
ולמעשה כולם גולשים על אותו IP חיצוני
http://cms.education.gov.il/Educati...MidaBaresht.htm

ברשת הזאת מטעמי אבטחה (לא מובנים) לא ניתן לעבוד עם דואר POP3 ולכל בית ספר יש תיבת דואר אקסצ'נג' עם מגבלה של כמה MB בודדים שמחייבים כל הזמן לרוקן את התיבה
כמובן שמצב כזה הוא לא מציאותי ולכן מי שרוצה דואר נורמלי חייב לעבוד על דואר WEB כמו GMAIL וכדו'
חלק נוסף במערכת זו תוכנת מנב"ס שרצה על מחשב מסויים בבית הספר ומחייבת התקנת שרת SQL על כל מחשב נוסף שרוצה לעבוד על התוכנה ברשת .
דרך התוכנה הזו מנהלים את מצבת התלמידים והציונים והבגרויות ודרכה שולחים ומקבלים קבצים משרת ה"מישלוחית" (בלינק לעיל).

התיכון שבו אני מטפל מחולק לשני חטיבות תחת סמל מוסד אחד
בעבר שניהם היו במבנה אחד אך לפני כמה שנים הם נפרדו לשני מבנים מרוחקים כ-70 מ'
בגלל שמדובר בסמל מוסד אחד , אין שום אפשרות להפריד את התוכנה לשני המוסדות ולכן הייתי חייב ליצור רשת ביניהם .
וכך במשך כמה שנים המשרד השני השתמש בכרטיס PCI WIFI וקלט מראוטר מרוחק ששיתף לו גם את האינטרנט וגם את הגישה לשרת של התוכנה מנב"ס .
למרות שהקליטה לא הייתה מאה אחוז אבל בכל זאת הסתדרו עם זה .

לפני כחודש פנו אלי מהמשרד הראשי שמנהל את כל הסניפים בארץ ובקשו שאבדוק אפשרות של חיבור שעוני הנוכחות של העובדים לרשת האינטרנט במקום הקו האנלוגי ששימש עד עכשיו
כדי שהתוכנה תוכל למשוך מידע אוטומטית .

כדי לבצע את זה צריך להזין בתוכנה את ה-IP של הסניף וכאן בעצם נתקלתי בבעיה קשה,
כי כפי שהזכרנו ,רשת קישורים היא רשת סגורה ואין לסניף IP חוקי שדרכו ניתן להגיע אליו
ובנוסף כדי לקבל אישור לפתיחת פורט צריכים למלא כמה טפסים ואישורים וחתימות ממשרד החינוך
וגם לחבר את השעונים ישירות למודם ע"י סוויץ כדי שיקבלו IP קבוע חוקי ישירות מהשרת של קישורים ,וגם לקבל אישור כניסה של התוכנה מרשת אחרת לרשת קישורים.
מנסיון קודם עם המערכת הבנתי שאין סיכוי בעולם שזה יצא לפועל
אז ניסתי ללכת בכיוון של VPN עם התוכנה HAMACHI שעוקפת את החסימה
שאותה אני אריץ על מחשב שישאר דולק תמיד וממנה אני אפנה פורטים לשעונים שיתחרו למחשב הזה
ה-VPN אכן עובד אבל את ההפניה לא הצלחתי לבצע.

לבסוף הוחלט על הזמנת קו ADSL נוסף עם אינטרנט רגיל עם IP קבוע למשרד השני
כדי שיהיה לו אינטרנט משלו ללא תלות בקליטה האלחוטית וכדי שנוכל לגשת לשעונים .

עד כאן ההקדמה וכעת לחלק המעשי של הרשת.

הכיוון שלי היה ליצור רשת שתכלול שני ראוטרים שכל אחד מהם יהיה מחובר לאינטרנט משלו
ובנוסף שניהם יהיו מחוברים בינהם ב-WDS ואל שניהם אחבר את כל המחשבים שאני צריך כולל השעונים ואנתב את הרשת לפי הדרישות .

וכך עשיתי ,במשרד הראשון התקנתי ראוטר עם חיבור לרשת קישורים 014
ולראוטר הזה חוברו שני שרתים של שני כיתות מחשבים + המחשב שמשמש שרת המנב"ס + מחשב המזכירה שעובדת על תוכנת המנב"ס ועם האתר של קישורים
לראוטר הזה חיברתי גם את שעון נוכחות אבל הוא נותב לראוטר השני.

במשרד השני המרוחק התקנתי ראוטר נוסף שמתחבר לספקית אינטרנט רגילה
אליו מחובר המחשב והשעון הנוכחות שלהם .

בין שני הראוטרים יצרתי רשת WDS ונתתי לכל אחד מהם IP באותה סדרה
192.168.3.1
192.168.3.2
בראוטר אחד בטלתי DHCP וכעת הוא מחלק IP מהראוטר השני
אבל למעשה אני יכול לבטל את ה-DHCP בשניהם כי זו רשת קטנה שבה אני צריך ניתוב מאוד ספציפי
וגם מטעמי אבטחה במדה ומישהו יתחבר (מלבד זה שכיביתי SSID).

כל אחד מהשעונים הוגדר על פורט אחר ובראוטר הפנתי לכל אחד את הפורט שלו
למרות שאפשר להשאיר את שניהם על אותו פורט ולבצע הפניה לפי הפורט החיצוני שהתוכנה מבקשת .

כעת הייתי צריך למצא דרך שבה המשרד השני המרוחק, זה שמחובר לאינטרנט הרגיל
יוכל להתחבר גם לאתר קישורים עם אפשרות כניסה לדואר אקסצ'נג' ולמשלוחית
בדקתי מה ה-IP של השרת דואר ומצאתי באינרנט הסבר כיצד לנתב כתובת X ליציאה ספציפית
http://expertanswercenter.techtarge...1082821,00.html
ובעזרת חברי הפורום מצאתי איך נתב את הכתובות הזו בלבד לראוטר השני שמחובר ל-014
route -p add 192.168.192.0 mask 255.255.255.0 192.168.3.2

וכך בעצם קבלתי מחשב שגולש על שני רשתות שונות
הגלישה הכללית שלו כולל מאייל POP3 והכל מתבצע דרך ספק אינטרנט רגיל
ואילו הכניסה לשרת אקסצ'נג' שלו מנותבת לרשת אחרת .
אחר"כ ראיתי שהאפשרות הזו קיימת גם בממשק של שהראוטר אז הגדרתי את זה שם בטלתי את הפקודה במחשב .

הנה הסקיצה
מקווה שהצלחתם לחזיק ראש בכל הבלאגן הזה, כי אני כבר כמה שנים מחפש פתרונות וכמה שבועות שעובד על התשתית וההגדרות .
תודה לכל החברים שעזרו בכל השלבים באשכולות השונים שפתחתי .

תודה רבה. עזרת לי מאד, גם אני שובר את הראש כבר זמן רב עם בעיה דומה של קישורים.

ד"א, האם הקונפיגורציה הנ"ל קבילה מבחינת משרד החינוך?

אני כבר 3 שנים מנסה כל פעם מחדש להשיג למשרד השני סה״כ יוזר נוסף,ושום דבר לא זז.
ובכל פעם שהייתי פונה לתמיכה ומסביר להם שאין לי פתרון לתוכנת מנב״ס מלבד האלחוטי
הם היו רק מעירים לי שזה לא תיקני ושיש להם איזה מכשיר אלחוטי שמורשה על ידם
בתכלס אם באמת הייתה חשובה להם אבטחה היו דואגים לאכוף אותה ולספק פתרונות מציאותיים
ברגע שיש לך מאייל web אז מה הרעיון בלחסום pop3
אחרי שיש לי hamachi שנותן לי vpn למחשב בבית
או LOGMEIN שמאפשר עבודה מרחוק וכך סדרתי למס׳ מורים לבצע עבודות מעבר לשעות הלימודים , אז מה נשאר לאבטח ?
אני לא בא בטענות על הפרצות ,הם דווקא לטובתי כי הדרישות מגבילות ולא נוחות.
אבל נראה שהם ציפו שכל בית ספר יקצה מחשב + קו נפרד לחשבון של קישורים
אך בתי הספר רואים בכך בזבוז ומנצלים את השרות הזה לשאר שימושי גלישה וכדו׳

חבר מפורום אחר שנמצא בצוות של קישורים אמר לי שברגע שאני מחבר ראוטר עם NAT
אני עלול לשבש להם שם את כל הרשת כי היא מאוד עדינה כלשונו
ובאמת מוזר לי שפעם ניסיתי לגשת למחשב ברשת הכיתה שלי ב rdp
ובמקרה הוא היה כבוי ואז הגעתי לאחד משרתי server 2003 שלהם.

אם בכל זאת אתה רוצה להמנע מלגרום להם הפרעות, אפשר לסדר את הרשת אחרת
בצורה שרק מחשב בודד יחובר לקישורים ואחרים יגשו אליו דרך כרטיס אחר ב-RDP
אחת הסיבות שהקצתי מחשב נפרד כשרת מנב"ס בגלל שההתקנה של SQL מאוד מורכבת ופעם אף עלתה כסף לבית הספר
וגם כדי שבמקרה חרום יוכלו לגשת אליו ברשת גם בלי להתקין מנב"ס על שאר המחשבים.

אז לסיכום:

1. חיברת בין רשת VPN די רגישה של משרד החינוך לבין חיבור רגיל ופתוח לאינטרנט.
2. כל זאת על פני רשת אלחוטית (שמאובטחת ע"י מה? הסתרת SSID?) בניגוד לנהלים, במקום להעביר כבל ל70 מטר.
3. אתה משתמש בתוכנות שעוברות דרך חברות צד ג' כדי לתת גישה לרשתות האלה (Hamachi, Logmein)

נכון עד כאן?

תעזרו קצת לעולם:

אני לא בא להצתדק ולטעון שמה שעשיתי חלק
אבל לקרא ל"רשת רגישה" זו מילה יפה ופגיעה אך מה לעשות שהצרכים של בתי הספר הם יותר ממה שרשת קישורים מספקת
ולדעתי במקרה הספציפי שלי מדובר באמת בבית ספר שאין לי מה לחשוש מהתלמידות
וגבי אבטחה של הרשת האלחוטית אין לי בעיה לאבטח אותה בעוד אמצעים אבל אני לא כזה פרנואיד ולכן קצת הזנחתי בינתיים את הנושא הזה
כי עד עכשיו עבדתי על בניית הרשת האלחוטית הכבילה וההגדרות ואחרי שזה יעבוד חלק אטפל גם באבטחה .


אני מבין שבאת לרמוז משהו, אני מוכן לקבל הערות והארות ולעשות הכל שכולם יהיו מרוצים

למרות שאינני מכיר את משרד החינוך בהיבט המחשובי, אני מאמין שיש בו מדיניות אבטחת מידע כזו או אחרת. אם אכן יש, כנראה שצפצפת על חלקים די חשובים שלה.
על אף שלא אוכפים את אותה מדיניות (ככל הנראה), לדעתי אתה, כאיש מקצוע, כן צריך להגדיל ראש ולציית לה.

סביר להניח שהצרכים של בית הספר בו אתה עובד לא שונים מאוד מצרכים של בתי ספר אחרים,
וקיימים פתרונות מסויימים. אם הם לא מקובלים ע"י העובדים בביה"ס - זו לא בעיה שלך.
כמו שבחינוך יש נהלים בהם כל בית ספר חייב לעמוד, כך גם במחשוב.

מה שאני מנסה להגיד זה, שבארגון כ"כ גדול ולא פרטי, אני לא חושב שצריך לעבוד בצורה שבה אתה עובד, שהיא קצת חאפרית (אני ממש לא בא להעליב).
נראה שאתה לא מודע ב-100% להשלכות מבחינת אבטחת המידע של הפתרון שנתת.
וזה בסדר, לא מצפים מכל בן אדם להיות איש תקשורת, סיסטם ואבטחת מידע. אבל בדיוק
בשביל זה יש נהלים ומדיניות.


צריך תקשורת במקום מרוחק (70 מ' סה"כ) - וחל איסור להשתמש ברשת אלחוטית? מעבירים כבל. אין לך את היכולת לעשות את זה? מזמינים חברה שכן יש לה.

צריך מחשבים עם חיבור אינטרנט רגיל ואסור לחברם לרשת הקיימת?
קונים עוד חיבור (כמה זה כבר עולה היום??) ומקימים רשת חדשה ונפרדת.

אתה לא צריך להיות יס מן של עובדי בית הספר ולרוץ ולפתור להם מיד כל בעיה, כאשר זה בא על חשבון הפרת המדיניות בארגון.
אני לא חושב שהם היו מעיזים לצפצף על מדיניות בנושאי חינוך, אז אין סיבה שיעשו את זה גם בנושאי מחשוב.

עריכה:

פספסתי את הלינקים שנתת לאתר משרד החינוך. אכן יש מדיניות, ואכן נראה שצפצפת עליה.

תעזרו קצת לעולם:

אני מטבעי נוטה תמיד לחסוך בהוצאות ובציוד וגם אוהב את התחום ולכן הלכתי בכיוון הזה
למרות שכמובן היה אפשר לחפור תעלות והעביר כבלים ולקנות מחשבים נוספים לכל שימוש בנפרד
וגם להזמין עוד קו ADSL + ספק + IP קבוע לכל שעון נוכחות ועוד ועוד ...
ואגב 70 מ' אווירי זה לא 70 מ' חוטי , כבר יש לי שם שני כבלים של 50 מ' כל אחד מהראוטר לשני כיתות מחשבים.
אפשר לומר שזו לא הבעיה, אבל בשטח אף אחד לא עובד כך כשסה"כ מדובר ברשת של בית ספר ולא בכור גרעיני .
ואם משרד החינוך היה כ"כ דואג למידע הזה הוא היה מתקצב ומפשט את כל המערכת הזאת
כך שבית הספר לא יצטרך לחסוך בהוצאות הללו .

וכמו שאמרתי ,רוב השימושים של בית הספר הם לא האתר של קישורים ולא הדואר אקסצ'נג' וגם לא תוכנת מנב"ס
אבל כך זה נוח יותר לעבוד ואם זה מפריע למישהו ,אני יכול לבודד את השרותים האלו על השרת שהקצתי למנב"ס ואליו להתחבר בכרטיס רשת נפרד משאר המחשבים ב-RDP .

זה לא חוכמה להפציץ בהגבלות והזהרות שאין בהם שום טעם
ורק מהסיפור שקרה לי עם ה-RDP שהתחבר לשרתים שלהם ומזה שכל NAT ביתי משבש להם את הרשת ,
אתה כבר יכול להבין באיזה רמת ציוד אבטחה מדובר .
ואולי זו גם הסיבה שמזלזלים בדרישות שלהם .

שמע, אתה יכול לתרץ את זה איך שאתה רוצה (אגב, זה שאתה לא מבין משהו במדיניות ממש לא אומר שהיא חסרת טעם):

המשרד לא בסדר (הוא באמת לא בסדר, לא אוכף את המדיניות שהוא קבע),
אין תקציב (אתה מיידע את מי שאחראי על תקציב הבית ספר שאתה חוסך כסף על חשבון אבטחת המידע ועמידה בנהלים ובמדיניות?),
זה לא כור גרעיני, הציוד/כ"א של המשרד לא איכותי וכו' וכו'.

בשורה התחתונה אתה עושה מהצד שלך עבודה לא מקצועית ולא רצינית, שפוטנציאלית עלולה לגרום נזק, וחבל.

תעזרו קצת לעולם:

נכון שמבחינת החוק היבש אתה צודק
אבל כמו בהרבה חוקים במדינה ,האזרח מזלזל ומסתדר איתם בדיעבד ,
גם כאן לדעתי זה יעבור בשלום עוד הרבה שנים בלי בעיה
ואם היה סיכוי כל שהוא שבבית הספר הזה מישהו ינצל את הפרצה הייתי חושב בצורה אחרת
אבל לדעתי, מי שרוצה להגיע למידע לא צריך ללמוד רשתות ולא האקינן הוא יכול לבא עם דיסק יהלום ולחתוך את הקיר של המזכירות ולשבת פיזית על המחשב (:

יכול להיות שהפירסום שעשיתי לא בריא, אבל אתה יכול למצא בפורומים ברשת מורים ומנהלים ששואלים בדיוק את השאלות האלו, כמו כיצד לעבוד מהבית וכדו'
וכל אחד יכול לתת להם את העצות האלו ,וכך גם הגיב המגיב הראשון לאשכול הזה ...

וכמו שכבר כתבתי, אם זה יעזור במשהו או למישהו שאסדר את הרשת בצורה אחרת
אין לי בעיה לעשות את זה רק שיהיה חבל לי על "הפטנט" שלי ..
כרגע זה נוח למזכירות שבקושי יודעות לתפעל מחשב, ואפילו את התוכנה של המנב"ס להזמנת בגרויות אני מנהל במקומם .

אז בא נסכם שהפתרון שעשיתי הוא ספציפי לבית הספר שבו אני מטפל ואינו דוגמא למקרים אחרים
וכל אחד יפעל ע"פ החוק או ע"פ שיקוליו ואחריותו .
ואולי זה כמו לכתוב על חפיסת סיגריות שמשרד הבריאות קובע שהם מזיקות לבריאות .

אז שיהיה לכולם לבריאות ואולי אקח לליבי את ההערה שלך ואסדר את הרשת אחרת .
תודה

נ.ב.
את האשכול הזה פרסמתי בפורום אחר שבו אני מנהל
ושם יש חבר מרשת קישורים והוא הגיב אפילו פחות ממה שאתה כתבת
כך שכנראה גם הם לא מחזיקים ממה שהם דורשים*

נראה מישהו חותך עם דיסק יהלום ושלא יגלו את זה אח"כ

יש עוד נקודה אחת שיכול להיות שפספסת - לא צריך להיות פה זדון כדי שיהיה נזק.
אני מניח שהרשת השנייה ("הפיראטית") שהקמת פחות מוגנת (אנטי-וירוס/סינון מיילים וכו'),
ולכן כל מיני מזיקים יכולים "לנדוד" ממנה אל הרשת המשרדית.

אתה בעצם מבצע עם עצמך ניהול סיכונים, שנראה שאתה לא מוכשר לעשות, ומחליט שהסיכון מקובל עלייך. לא הכי תקין, הא?

כמו בהרבה תחומים אחרים, יכול להיות שיום אחד ייקרה איפשהו נזק רציני, ואז כולם יתעוררו וישימו לב לאיך שנראה המחשוב בבתי הספר.

אתה חושב שאני מגזים, ואני מבין למה. אבל אם ארגונים קטנים הרבה יותר וחשובים הרבה פחות מתנהלים בצורה יותר רצינית (כמו שיצא לי לראות לא פעם), אז למה לא משרד החינוך?

תעזרו קצת לעולם:

אני שומע ומקבל מה שאתה אומר אבל עדיין מרגיש קצת הגזמה
נכון שיכל לקרה משהו ואז יחפשו את האשמים, אבל בכל דבר בחיים עושים את השיקול של רווח מול הפסד
וכאן זה חשבון של נוחות של אינספור שעות עבודה של אלפי בתי ספר מול חשש כ״כ רחוק
והסיכון מוירוסים שציינת הוא לא מעשי משום שלכל מחשב כזה בכל בית ספר המורים מחברים DOK
שהם מביאים מהבית עם כל המרעין בישין
אז הרשת המקבילה שחברתי לאותו הראוטר לא שונה מכל אינטרנט שיש לכל מורה בבית
וחוץ מזה בהרבה בתי ספר אחרים פותרים את הבעיה שלי ע״י שני חייגנים אחד לקישורים ואחד לרשת אחרת כל שהיא, כך שהסיכון הזה קיים בכל מקום.

בסוד אגלה לך שהקמתי לחבר רשת rdp בין כמה סניפי השכרת רכב בארץ ,
שכולם מתחברים ועובדים על תוכנה פשוטה בשרת מרכזי אחד
ושם שאלתי את המתכנת של התוכנה האם היא מאובטחת מספיק וסמכתי על הצפנת הנתונים שלו
והרשת שם בנויה על ראוטר של בזק בחיבור rdp רגיל (רק את הפורט שיניתי)
ועם ip קבוע ואפילו בלי vpn
וזה עובד כך כבר למעלה מארבע שנים.
אני לא מתפאר בזילזול אלא רק מראה לך שהחיים הרבה פחות נוראים ממה שמומחי אבטחה עושים אותם

אולי לחברות עם חומר חשוב ועם מתחרים גדולים יש ממה לחשוש.

אני לא נוקט עמדה, הפתרון שלך יצירתי אבל בעיתי.
לגבי התגובה הזו - זו בדיוק הנקודה שניסו להעביר לך,
המטרה שלך, כמי שמקים ומתחזק את הרשת היא לא להגיד "טוב, זה יכול לעבוד כמה שנים בלי בעיות"
אם במקרה של החבר שלך מישהו ימצא פרצה (או כבר מצא, ופשוט לא גילו אותה) ויתחיל להשכיר מכוניות פאר בתשלום של וספה מה יקרה אז?
פתרון זמני הוא טוב כל-עוד הוא... זמני, בארגונים גדולים הזמני נוטה להפוך לקבוע וזה מה ש"דופק" את הארגון בתצורה הזו, בבנק גדול בארץ עד לפני 8 שנים לא הייתה הפרדה בכלל בין הרשת הפנימית של הבנק למחשבים הסניפיים, ילד בן 16 פרץ(נכנס, זו המילה הנכונה יותר) ממחשב שכזה לשרת הדואר והתחיל לשלוח הודעת לאנשי הסיסטם בסגנון "הרשת שלכם לא מאובטחת.. טפלו בה"

אז נכון, משרד החינוך זה לא בנק, והדבר הכי גרוע שיכול לקרות זה שמישהו יקפיץ לעצמו ציונים (או ידפוק עתיד של מישהו אחר כי הוא חייב לו 10 שקל), אבל להשאיר דברים "כי זה עובד ככה כמה שנים" זו גישה בעייתית ואתה חייב למצוא פתרון שלפחות יעמוד בקו אחד עם הסטנדרטיים האירגוניים, אם לא לתקן את אותן הגדרות בעיתיות באופן גורף יותר.

בכול מקרה - תודה על השיתוף.

הבעיה אצלי שבדר"כ המוח שלי עובד בכיוון של איך לתקן וכשבאים ושואלים אותי איך לקלקל קשה לי לעשות את הסוויץ הזה (:
ולכן אני גם לא לחשוש מדברים רחוקים כל עוד לא נתקלתי בהם
וכמו שכתבתי באחת מהתגובות, שלו הייתי יודע שהרשת נמצאת בסכנת חדירה של מישהו הייתי משקיע בהגנה .

לגבי השכרת הרב, התוכנה היא של חברה שמשרתת עוד חברות גדולות בהרבה מהחברה הזו
ולכן סמכתי על ההצפנה והחסימה של התוכנה שלהם
מלבד זה אין בשרת הזה כלום , מצדי הם יכולים למחוק ולקלקל
יש לי אימג' של כל המערכת וגיבוי יומי באינטרנט של המסד נתונים של כל הסניפים שמחוברים .
איך הפורץ ישכיר רכב בלי גישה לרכב ולטפסים ?
אני חששתי יותר לפרטים של כרטיסי אשראי שאולי שמורים בתוכנה ולכן שאלתי את המתכנת של התוכנה .
אבל בעקרון השרת הזה לא שונה מכל מחשב ביתי של כל אחד מאיתנו ,והסיכוי שמישהו יפול בדיוק עליו ויכנס אליו ויצליח לקלקל או להפיק תועלת מהפריצה הוא רחוק .

בכל מקרה בדוגמאות שהבאת הוספת לי קצת יותר למודעות של הסיכונים
ולמרות שעדיין הסיכוי שתלמידה (בית ספר דתי) תגיע לציונים שבתוכנה הם אפסיים
כי צריך לעבור הרבה שלבים עד שמגיעים למסד הנתונים של התוכנה
בכל זאת אקח לתשומת לבי את הנושא ואשפר את האבטחה .

לגבי ההפרדה בין הרשתות , כפי שציינתי רמת הסיכון היא אותה רמה גם בלי הצרוף
ואם הראוטר היה מפריע לרשת של קישורים הם כבר מזמן היו מידעים אותי כי זה כבר כמה שנים שאני משתמש בקו הזה למספר מחשבים במשרד .

העלתי את הנושא לצורך שיתוף הידע ואני שמח שאחרים משתתפים ומוסיפים הערות לתועלת .
תודה

מתקשרים אלי מבזק בינלאומי ומציעים לנו שדרוג המהירות + רכישת ראוטר אלחוטי
ובאיזה מחיר ? 1000 ש"ח, ועל איזו אבטחה אלחוטית WEP , ולאיזה שימושים ,לגלישה של מחשבים ניידים במוסד ..

פתאום כל הבעיות נפתרו, שלם 1000 ש"ח + מע"מ על ראוטר מאובטח ואתה מסודר .
מי צריך FW כשבלאו הכי אתה מאוחורי רשת Ipvpn ואיזה מידע כבר יש לך לשמור .

עכשיו תבינו מה גורם לי כ"כ לכבד את הכללים .

WEP אה? כדי שייקח לאנשים מסביב לגלות את הסיסמא שלך רק 5 שניות
זה משהו רשמי מהמוסד שלך?

כנראה שבהתחלה מתקשר רק נציג מכירות שלימדו אותו לדקלם את הפרטים
אז שאלתי אותו איזו הצפנה ולאילו שימושים הם מציעים את הראוטר
והוא ענה WEP ולשימוש של מחשבים ניידים במוסדות .

כשהתחלתי לשאול אותו פרטים טכניים הוא אמר שאמתין שהוא יעלה טכנאי
ואז שאלתי אם הם יכולים לספק לי פתרון לבעיה שלי והוא אמר שרשת אלחוטית בין שני נקודות הם לא תומכים
אבל הוא יכול ליצור לי רשת פנימית בתוך הרשת שלהם של קישורים שתקשר לי בין שני המשרדים
זה כמובן לא עוזר לי כי אני צריך גם רשת חיצונית
שאלתי אותו אם הם יכולים לספק לי IP חוקי עם הראוטר הזה והוא ענה שלא .

הם לא הפסיקו להתקשר ולנסות לשכנע עד שאמרתי להם שאנחנו רק סניף ומעלינו יש מי שקובע על מה להוציא תקציבים
ולא נראה לי שזה מוצדק להעלות מהירות ולקנות ראוטר כזה בשביל מחשב בודד שמשתמש ברשת רק לקישורים, אקסצ'נג' ומישלוחית .

תראה, יכול להיות שהראוטר הזה מכיל טכנולוגיות של הצפנה וניהול כמה רשתות כך שהגלישה של המשתמשים האלחוטיים לא תוכל להגיע לרשת של התוכנה .
אבל בכל זאת, כשאני רואה התנהלות כזו אני מסתפק אם כל הרעש הזה מוצדק או שאלו סתם נהלים שמישהו עשה להם העתק הדבק ממקום אחר .

נשמע כאילו זה מרכז המכירות של בזב"ל, ברשותך אשאר ניטרלי לגבי ההתנהלות שלהם, אבל עושה רושם שהם לא קשורים לארגון שלך כך שאתה לא יכול לקחת את זה כדוגמה לדפיקות הנהלים ולמה לא לעקוב אחריהם

משרד החינוך היה צריך להגיע להסדר עם בזק ולדאוג שגם התשתית תהיה על חשבונם,
ואת הרשת היו עושים בצורה סגורה לחלוטין ללא יציאה לאינטרנט בלי גוגל ובלי כלום
וכך לא היו בעיות פירצה ,לא LOGMEIN ולא HAMACHI וכו'
הרשת הייתה משמשת רק לאתר של קישורים לתוכנת מנב"ס ולדואר אקסצ'נג' הפנימי להודעות ממשרד החינוך .

ואז מי שירצה אינטרנט שיזמין לעצמו תשתית + ספק
נכון שגם אז יכולתי לחבר מחשב אחד לשני רשתות ולהגיע אליו מהבית ועדיין לעבוד מרחוק על הרשת שלהם
אבל זה היה הרבה יותר סגור ובלי דרישות מוזרות .

זה ראוטר מאד איכותי שיודע לעשות הפרדה של רשתות כך שכל המשתמשים הניידים יגלשו ברשת שונה. יהיה להם IP מסידרה שונה שאתה תקבע הDHCP והמחשבים האלו לא יוכלו להגיע למחשבי
המנב"ס. ואם תרצה בפורטים הנוספים שלו תוכל לבנות עוד VLAN ים.

נכון שזה נותן פתרון לניצול האינטרנט הקיים
אבל עדיין משאיר אותנו עם מגבלות ומעכשיו יוסיף רק עומס של גולשים
השאלה, האם הראוטר הזה מחלק רק את הרשת הפנימית
או שגם פותח ערוצים נוספים לאינטרנט הכללי , כמו pop3 imap וכדו׳
אחרת מה יועיל שהצוות יגיע עם הניידים שלו ולא יוכל לעשות כלום ?
במקום זה אולי הרעיון האחרון שלי היה עדיף

בדיוק כמו ברשת המנב"ס אבל משתמשים יכולים לגלוש באינטרנט ולהישתמש בדואר כמו GMAIL וכד'. אותם משתמשים שאין לך שליטה על מחשביהם גם לא מסכנים לך את הרשת ואתה מוגן מוירוסים וכד' שיכולים לעבור אם כל המחשבים באותה רשת. כמו כן אתה יכול להקצות חלק מרוחב הפס שאתה תחליט עליו לטובת הרשת האל-חוטית ואז הם לא יעמיסו יותר מדי. ראוטר כזה אם לא ממנים לך אותו עולה הרבה יותר.
מה גם שאאולוק גם אם הפורט שלו היה פתוח (ואפשר לבקש זאת בפקס וזה בדרך כלל מאושר) היה
עובד רק בקבלה ולא בשליחה אצל אלו שספק האינטרנט שלהם הוא לא בזקבינלאומי. ובדרך כלל לכל ספקיות האינטרנט אפשר לגשת למייל שלך דרך האתר שלהם עם שם המשתמש והסיסמה.

זה ראוטר?
אנחנו לא משתמשים בו כ router, ובכלל אם אתה מחפש מסנן תוכן לא עדיף שתלך על blue coat?
אני אמנם לא איש תקשורת, אבל למיטב ידיעתי הג'וניפר נותן לך יופי של הצפנה אם אתה רוצה להיכנס למערכת, אבל אם אתה מבפנים ורוצה להוריד תוכן מבחוץ - הוא לא ממש הכלי בשבילך

ג'וניפר (כמו סיסקו, 3com ואחרים), מייצרת כמה מוצרים. גם ראוטרים. וגם סוויצ'ים. וגם... עוד כמה.

Blue Coat בכלל עושה משהו אחר...

נמאס לכם לזכור סיסמאות? לחצו כאן!