بر خلاف اون تصوری که قبلا" از امنیت شبکه داشتیم و فکر می کردیم می بایست جلوی نفوذ از بیرون شبکه رو بگیریم امروزه این مقوله تقریبا" عوض شده و نگرانیهای داخل شبکه به اندازه خارج اون هم مهم هستند.
شما به عنوان مدیر شبکه یک سرور دارید که روی اون dhcp نصبه و کاربران بطور اتوماتیکip می گیرند و فرضا" به اینترنت هم وصل می شن.اگر کنترل درستی روی این قضیه نکنید هر شخصی که یه کامپیوتر قابل حمل داشته باشه و یک نود شبکه در دسترسش باشه می تونه براحتی عضو شبکه شما بشه وبه اطلاعات شبکه شما دسترسی داشته باشه.

راه حلهای زیادی برای اینکار هست یکی از این راه حلها استفاده از تجهیزات utm هستش که با ابزارهای مدیریتی که در اختیار شما قرار می ده کنترل حسابی رو شبکه خودتون خواهید داشت.web filtering,nat,anti spam,anti virus,ips و.... بسیاری ابزار مدیریت دیگه که برای تهدیدات امروزی مناسب باشند.



به تحقیقش می ارزه.

اگر شما از تجهزیات قابل مدیریت استفاده کنید، به راحتی می توانید از این گونه خطرها جلوگیری کنید:

1- dot1X که به کمک می توانید تمامی کاربران را (حتی اگر از dhcp هم Ip بگیرند ) ملزم کنید تا با ورود user pass وارد شبکه شما شوند،

2- port security که به کمک آن می توانید، هم تعداد کامپیوتر های قابل اتصال را محدود کرده و هم آن را با توجه به mac address فیلتر کنید.

3- ..

اگر شما از تجهزیات قابل مدیریت استفاده کنید، به راحتی می توانید از این گونه خطرها جلوگیری کنید:

1- dot1X که به کمک می توانید تمامی کاربران را (حتی اگر از dhcp هم Ip بگیرند ) ملزم کنید تا با ورود user pass وارد شبکه شما شوند،

2- port security که به کمک آن می توانید، هم تعداد کامپیوتر های قابل اتصال را محدود کرده و هم آن را با توجه به mac address فیلتر کنید.

3- ..

استفاده از قرارداد امنیتی dot.1x ارتباطی با وارد کردن اطلاعات کاربری نداره. به طور کلی بعد از فعال نمودن این قرارداد، تنها رایانه هایی که به دامین join شده باشند می توانند از امکانات شبکه استفاده کنند.

استفاده از قرارداد امنیتی dot.1x ارتباطی با وارد کردن اطلاعات کاربری نداره. به طور کلی بعد از فعال نمودن این قرارداد، تنها رایانه هایی که به دامین join شده باشند می توانند از امکانات شبکه استفاده کنند.

دوست عزیز اگر شما اسم dot1x رو شنیدید بنده بارها آن را به صورت عملی تست و اجرا کرده ام !

از مرسوم ترین روش های اجرایی آن نیز، ارسال اطلاعات به یک radius server است، که اطلاعات کاربری توسط آن radius server چک می شود. حال اگر radius server برروی یک دامین باشد، نام کاربری و رمز عبوری را که مورد بررسی قرار می دهد، کاربران ثبت شده در آن دامنه هستند !

از آن جایی که ممکن است Radius server برروی لینوکس باشد و open radius باشد، join دامنه بودن دیگر چیست !!!!

بزرگترین پروژه ایی که در اون از dot.1x استفاده کردم در حدود 2000 کاربر در شبکه وجود داشت. لذا...

اما در خصوص RADIUS: شما چاره ایی به جز استفاده از RADIUS سرور ندارید. پس استفاده از لفظ "از مرسوم ترین" درست به نظر نمی رسه.

همانطور که قبلا هم به اون تا حدی اشاره کردم، استفاده از نام کاربری به منظور راه اندازی روش هایی مانند Dynamic VLAN کاربرد خود را نشان می دهد.

موفق باشید.

بزرگترین پروژه ایی که در اون از dot.1x استفاده کردم در حدود 2000 کاربر در شبکه وجود داشت. لذا...

اما در خصوص RADIUS: شما چاره ایی به جز استفاده از RADIUS سرور ندارید. پس استفاده از لفظ "از مرسوم ترین" درست به نظر نمی رسه.

موفق باشید.

1- باشه !

2- در aaa authentication وقتی قرار است mode انتخاب شود، علاوه بر radius می توان از tacacs , local نیز استفاده کرد.