Помогите с выбором оборудования.

Обсуждение на тему выбора оборудования
Ответить
Semenovds
Сообщения: 1
Зарегистрирован: 06 янв 2015, 12:50

06 янв 2015, 13:05

Добрый день.

Помогите с выбором оборудования.

Необходим маршрутизатор с возможностью балансировки нагрузки между 3 каналами интернета (один ADSL (7 Мбит) и два Ethernet (10Мбит)).
Также возможность контроля трафика на уровне пакетов, блокировать все возможные TeamViewer, Ammyy Admin и т.д.


Аватара пользователя
podarok66
Модератор
Сообщения: 3751
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

06 янв 2015, 19:53

Semenovds писал(а):Необходим маршрутизатор с возможностью балансировки нагрузки между 3 каналами интернета (один ADSL (7 Мбит) и два Ethernet (10Мбит)).

Практически вся линейка маршрутизаторов.
Semenovds писал(а):Также возможность контроля трафика на уровне пакетов, блокировать все возможные TeamViewer, Ammyy Admin и т.д.

Ну вот с этим Вы врядли Микротиком поборитесь. Такой уровень защиты больше присущ серверам. Перенаправление трафика на сервак, анализ и фильтрация и уж потом дальше по назначению. Как-то так видится подобная задача.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
GDragon
Сообщения: 80
Зарегистрирован: 20 ноя 2014, 15:48

07 янв 2015, 16:43

Все таки бороться с программами это не обязанность маршрутизатора...
Как вариант - забанить на нём целевые сети этих программ.
Более лучший вариант (особенно если есть домен и у пользователей нет админских прав) использовать политики ограниченного использования программ - http://msdn.microsoft.com/ru-ru/library ... 10%29.aspx


-user-
Сообщения: 30
Зарегистрирован: 21 мар 2013, 10:05

12 янв 2015, 12:11

Semenovds писал(а):Добрый день.
Помогите с выбором оборудования.
Необходим маршрутизатор с возможностью балансировки нагрузки между 3 каналами интернета (один ADSL (7 Мбит) и два Ethernet (10Мбит)).
Также возможность контроля трафика на уровне пакетов, блокировать все возможные TeamViewer, Ammyy Admin и т.д.


я бы смотрел на модели начиная от CCR1009-8G-1S
так как коробочки Микротик имеют L7 функционал, то изрядно покопавшись в мануалах и потратив некоторое время - получится залочить "вредный" трафик. (Есть вариант прописывания статики в DNS, но так как ограничения доступа у разных пользователей могут быть разные, то например правилами L7 мне проще рулить, кому что можно и кому нельзя)

Так же не забывайте, возможен и брак, и выход из строя по иным причинам оборудования - значит не забывайте резервировать, а это еще, как минимум, плюс одна такая же коробочка... а с нашим "любимым" долларом, это выливается как крыло самолета (и конечно же с чем сравнивать.... с другими решениями будет как ДВА :-) крыла самолета)

С уважением.


-user-
Сообщения: 30
Зарегистрирован: 21 мар 2013, 10:05

12 янв 2015, 12:18

GDragon писал(а):Все таки бороться с программами это не обязанность маршрутизатора...

с самими программами, то конечно ДА, но с трафиком, кто елси не роутер ? :a_g_a:


GDragon писал(а):Как вариант - забанить на нём целевые сети этих программ.

не везде прокатывает, тут на форуме в ветке про Тимвьювер уже обсуждалось

GDragon писал(а):Более лучший вариант (особенно если есть домен и у пользователей нет админских прав) использовать политики ограниченного использования программ - http://msdn.microsoft.com/ru-ru/library ... 10%29.aspx

если честно, очень муторно, с парком машин, за которыми сидят работники разных профессий, с разным пакетом программ... да и в наше время портабл и "умников" читающих инет, геморойно это все...
не говорю, что НЕльзя, но очень долго прибираться придется во всем зоопарке и в местах запуска программ... моточасов будет потрачена уйма, можно такое сделать на вновь образующемся домене в новой организации с нуля.... но чтобы внедрили в уже работающую сеть - взрыв мозга :-(


Аватара пользователя
GDragon
Сообщения: 80
Зарегистрирован: 20 ноя 2014, 15:48

12 янв 2015, 13:20

Ну дык тогда L7 файрвол и сниффер трафика в руки.
Только программ удаленного доступа хреновы тонны и как показывает практика - спасает только вайтлист ограниченного запуска программ.
Ну или поставить прокси, оставить наружу только 80 порт и проверять трафик на "вебовость"))
Хотя отдельные индивидуумы и через такое с помощью openvpn просачиваются...


Аватара пользователя
podarok66
Модератор
Сообщения: 3751
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

12 янв 2015, 13:33

-user- писал(а):с самими программами, то конечно ДА, но с трафиком, кто елси не роутер ? :a_g_a:

Ну зарежьте им, сволочам, трафик по 80 порту, точно не смогут авторизоваться. ;;-)))
Если без смеха, трафик-то роутер зарежет, вот только кто ему скажет, что резать, если он сам не знает, какой неправильный? Как я уже говорил, заворачивайте трафик на сервер на сервер, там анализируйте и на основе анализа уже можно что-то сделать разумное и правильное. А роутеру оставьте задачи по профилю.
P.S.: Однажды я через туннель ssh из чистой вредности с помощью торрент-клиента скачал фильмец там, где админ (точнее якобы админ) утверждал, что никаких торрентов у него не может проскочить в принципе. Вот с политиками на клиентских машинах все будет на порядок надежнее, простым юзерам практически гарантия запретов. А то, что работы море, это только в начале пути, через пару месяцев всё станет проще смотреться...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-user-
Сообщения: 30
Зарегистрирован: 21 мар 2013, 10:05

12 янв 2015, 14:03

podarok66 писал(а):Ну зарежьте им, сволочам, трафик по 80 порту, точно не смогут авторизоваться.
 сори за оффтоп в данной теме
резать диапазаоны IP, порты, в наше время не всегда помогает, так как все это меняется, как минимум от версии к версии целевой программы. Как Вы правильно заметили, сейчас порты 443 и 80, юзают все кому не лень, по этому для себя нашел пока, только L7.

в теме микротик, привел пример, как я зарезал тот же тимвьювер с помошью L7, так же кто-то написал, что сделал (принцип тот же) но при помощи статикДНС

:a_g_a:


Аватара пользователя
podarok66
Модератор
Сообщения: 3751
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

12 янв 2015, 14:20

Teamviewer я пробовал зарезать, у меня как бы не вышло начисто всё зарубить. Тем более при смене версий может меняться и настройка защиты. А оно мне надо, отслеживать версии программ, которыми пользуются посторонние люди.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
GDragon
Сообщения: 80
Зарегистрирован: 20 ноя 2014, 15:48

12 янв 2015, 16:12

Хех... Я на спор из централки одного из крупных банков сквозь их проксю openvpn туннель домой поднял :D


Ответить