От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

в смисъл ?

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Правилното решение е NAT мрежа с Load Balancing на gateway-ите. Тоест един вид правиш и двете в едно - хем работят заедно, хем е направено така, че когато едниния умре - другите поемат трафика.

Или другояче казано - използвай резервната си връзка активно, а не я оставяй просто да стои и да чака да й дойде времето. Това е разхищение на ресурси.

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Мда, съгласен съм с Wattie. В зависимост от производителността, надеждността и сигурността, които се търсят можеш да имаш няколко Border Gateways (в зависимост от целевия Bandwidth) свързани към поне два Internal Gateways, които осигуряват връзката на локалната мрежа и Load Balancing.

Желателно е външните устройства да използват различни Service Providers от гледна точка на надеждност. Също така е желателно всички устройства да са от различни производители с различни Firmware-и от гледна точка сигурност тъй като вероятността да се пробият две различни системи е значително по-ниска от тази при еднакви.

За още по-голяма сигурност може да се добавят и междинни Appliances за различните услуги, като SPAM Server (например ESVA), Proxy Server (Squid) и т.н.

Правил съм такава системи с различни USG (Unified Security Gateways) от Cisco, Juniper и Zyxel и от личен опит ти препоръчвам предварително да си уточниш приоритетите: целеви Bandwidth, необходима надеждност (доколко са критични прекъсванията), необходима сигурност (вероятност от атаки, пробиви и т.н.).

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Напълно несъгласен съм точно за това. Всъщност е точно обратното. По-вероятно е да намериш пробив в едно от две различни устройства, отколкото пробив в едно от две еднакви. В първия случай образно казано търсиш уязвимост в два пъти повече софтуер/фърмуеър, отколкото във втория. Тоест и полето за действие е повече.

По-важното е да се конфигурира правилно и да обновява навременно (и задължително ПЛАНИРАНО).

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Явно не съм се изразил правилно: от гледна точка на вероятности си прав, ако не отчитаме времето, което обикновено е сериозен фактор.

От чисто практична гледна точка - ако намериш пробив във Firmware-a на едното устройство и има още няколко такива в системата - хакнал си всичките. Това съм го виждал лично. Ако обаче пробиеш ZyXel и след него имаш Juniper например ще се наложи да бориш и него, т.е. има допълнително време за мрежовият администратор да реагира.

Това не случайно е описано като Best practice при добавянето на допълнителен слой към сигурността на подобни системи. Е, разбира се, ако степента на сигурност трябва да е още по голяма се разработват напълно Custom firmware-и за всяко устройство поотделно, но там вече и бюджетът е друг.

Може да се направи аналогия с патроните за ключалки на врати - колкото по-рекламирана е една система, толкова повече информация има за нея и съответно толкова по-ненадеждна е тя, т.е. всеки може да си купи въпросния патрон и да се опита да му намери слабите места. Съответно ако успееш да си изработиш Custom заключваща система липсата на информация за нея ще направи отключването й доста по-трудна задача. И съответно ако всичките ключалки в една къща са еднакви, с един комплект инструменти и умения се влиза навсякъде. А ако имаш различни ключалки ще трябват различни подходи, което ще отнеме повече време.

Читавата конфигурация е задължителна, особено в областта на мониторинга, като трябва да има и стратегия - т.е. кой и как да чете логовете и също така да отчете липсата на логове :-)

За актуализация - обикновено производителите разтръбяват нашироко новите версии, както и дупките които запушват, което е нож с две остриета, тъй като автоматично компрометира неактуалните системи. Т.е. излезе ли актуализация трябва да се приложи възможно най-бързо преди някой да е решил да се пробва.

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

И тази супа е сърбана. Виждал съм човек, който си беше направил собствена "подобрена" версия на хеш кода md5, за да си съхранява паролите в базата. Беше станало трагикомично по-зле, пък било то и цели 1024 бита. А за SALT първи, втори тип и т.н. "нямало нужда", щото видиш ли хеша му е "толкова добър".

Но си прав. При правилния бюджет и правилните хора може.

В случая човека вероятно няма да прави чудеса (щом пита такива неща). По-скоро иска да си направи мрежа в офиса на фирмата. И едва ли става дума за пет етажна сграда със стотици хора в нея.

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Security through obscurity му се вика и е доказано че не работи :>

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Добро четиво се получи.
Защо питам? Мрежа с 3-400 машини, необяснимо с повече от 1 gw (всичко е в 192.168.1-3.ххх, не е сигментирано). ПЦ-тат, които са gw предимно се ползват за филтър на трафика "навън", който по правило не би било редно да е голям (работата предимно е в LAN-а). Та... понеже поради някаква "причина" единия gw се повреди и необяснимо бе пратен за скрап и стана една истерия, и скандали, понеже най-червивите лелки бачкаха на него. От друга страна, лана е така "измислен", че единия гейт е в единия край на града, другия - в другия край. Още повече, че в двата края на лан-а устройствата ползват на пройзволен принцип (поради това, че ту единия гейт не е наред, че няма дистанционен достъп и прочие) различни гейтове...
И така сътворената простотия е потенциална "бомба", която видяхме как "работи" с счупения гейт... падне ли втори - мащабите ще са х10...
Макар да си вкарвам в гащите таралеж, ще ми се за тая глупост, дето съществува, да я пооправя...
"Оправданието" за н-броя гейтове е, че един нямало да устиска трафика ако е един, който трафик преобладаващо би било редно да е справки за здравен статус и при хипер идеалния случай - от 60-70 компютъра едновременно...
Понеже няма пари, има и "страхове", варианта за Cisco рутери отпада заради първата причина, а Linux - заради втората.
Load balancing с Win2003 (понеже има лицензиран) някой има ли налюдения как се справя и акъл да дава? Сега чета, но в насока: запазване на гейтовете, дето са налични и бекъп на връзката към МАН...

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Нещо не мога да зацепя как някои се надява на Win да направи по сигурен "рутер" от Linux щом няма пари, значи няма да му слагате антивирус. Това значи, че всеки заблуден вирус минал през този "рутер" може да го изкара от строя, и от тази гледна точна маи една сапунерцица за 200 лв ще е по-надеждния вариант...

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Брат... елА на гости да ти отворя един килер, дето гейт с Вин2000 не е преинсталирван от преди Демокрацията (образно казано) и ... няма антивирусна...

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

какъв килер ще отваряш я му дай ip-to на тоя гейт ::>

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Когато задаваш подобен въпрос първо е добре да сам да си отговориш дали търсиш сигурност, или става дума за непрекъсваемост. Второто за което трябва наистина сериозно да си дадеш сметка е за какви суми става дума. Кой каквото и да ти говори става дума за пари... Можеш ли да си позволиш да наемеш мрежов инжинер, можеш ли да си позволиш да купиш хардуерната част на инфраструктурата, каква част от софтуерната инфраструктура можеш да намериш под GPL и има ли смисъл да е под GPL. Все сериозни въпроси.

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Отговорите са: пари няма. Но инфраструктурата е: надени (наричани за краткост "наденици) или "раздвоени" кабели, свичове с изгорели портове, 3-4 радиа, 1 SDSL, 2-3 ADSL-a... LAN от вида "паежина" с добре изразени "клонове", дистанционно управление с радмин (хаха), наблюдение чрез "цмд->пинг" , мрежово архивиращо устройство, дето чрез авангарден е-майл бе разказано как да се открива, а там нещата са четене/запис от "гост" барабар със бекъпите на базите данни...
Изсилих се - подобен кръжок няма оправия. Правя пас за реформи, но темата ме интересува...

От: Мрежа с повече gateways или един gateway с бекъп-връзка "за навън"?

Човешкият вариант е back-to-back firewall. Тоест firewall отпред, който да пази и proxy отзад, който да разпръсква връзката. По-конкретно ти трябва преден firewall с три лан карти. Една за единият ISP (Internet service provider), втората за вторият ISP, третата е за връзката с proxy-то. Proxy-то трябва да е с две LAN карти (или три ако искаш да имаш DMZ) - една за входящият трафик от firewall-а, (една за DMZ-то) и една за мрежата на която обслужваш.

За различните операционни системи има различни методи - за Linux, ако не греша популярният вариант е Squid, за Windows има доста сложно и объркано NLB (network load balancing) решение (става дума за Windows 2000/2003 разбира се). Ако държиш (и ако ми остане време) мога да седна да пиша в подробности.