dele opp fysisk nettverk

[idander]

Hei og hopp!!

Jeg har flere maskiner koblet til samme nettverk, men vil dele opp dette i to eller tre deler. Det skal helst være et hierarki der noen PC-er har tilgang til de nederst i hierarkiet, men de på bunnen ikke har tilgang oppover.

 

Vet noen hvordan dette gjennomføres på best mulig måte? Det skal helst være sikrest mulig siden det ligger informasjon på noen av PCene som ikke skal finnes av uvedkomne.

 

Jeg skal sette opp en Linux-maskin med Smoothwall som deler internettoppkoblinga, og maskinene er fra før koblet opp mot en NT4.0 server.

 

mvh,

Idar

-----------------

Har ingenting å skryte av :smile:

[[email protected]]

Det å ha tilgang kan jo defineres på så mange måter... Vil du ikke at topp pcene skal bli sett av bunn eller at dem bare ikke kan access'e dem ?

 

Er det ren access så er jo ikke det verre enn å sette opp passord, forut sagt at du bruker 2000/XP da. 98/ME sin passord sak er jo en vits.

 

For å unngå at den ser dem er litt verre og ikke noe jeg orker å forklare her...

 

Forklar litt mer om hvorfor og hvordan du vil sette opp nettverket, så kanskje jeg kan hjelpe deg.

[pkalle]

Litt usikker på hva du er ute etter, men hadde ikke det enkleste være å kjøre en server med bruker kontoer og tilhørende rettigheter? Da slipper du å konfigurere hver enkelt PC.

 

Sett f.eks gjest som standard uten passord og ingen rettigheter for uten Internett access.

 

Administrator med alle rettigheter, osv.

 

Dette kan bare gjøres med NT4, NT5 og XP versjonene av Windows ikke Me og 95/98.

_________________

Pål Kallevåg

Hardware.no

 

[ Denne Melding var redigert av: pkalle på 2002-03-04 17:36 ]

[idander]

Jeg prøver å hjelpe en skole med dette oppsettet. IT-administratoren der har så store problemer med dette at hun spør meg om hjelp.

 

PCene som elevene bruker er win98, så sikkerheten der er ikke mye å skryte av. De ansatte skal få nye maskiner, og jeg skal anbefale dem win2k siden de trenger den ekstra beskyttelsen.

Det jeg i grunn lurte på da er om sikkerheten i win2k er god nok. Jeg vil i alle fall gå ut i fra at det er elever der som har såpass greie på data at de vil prøve å komme seg inn på lærer-maskinene.

 

Jeg hadde tenkt meg det slik at maskinene på topp av pyramiden skal kunne se alle de andre maskinene, men at maskinene under ikke skal kunne se de over.

Jeg skal undersøke hva slags server de kjører der og om den kan løse problemet. Vet bare at den kjører NT4 server.

 

takk for hjelpen så langt, jeg har kommet litt videre. mvh,

Idar

[pkalle]

Maskinene til lærerene er ikke noe problem om de kjører NT4.0, NT5.0 eller XP. Det ordnes med bruker kontoer. Det samme gjelder tilgang til server.

 

Win98 må ha krysset av deling av filer og skriver under nettverks egenskaper for å gi adgang til resursene som er lokalt på maskinen for bruker utenfra, over nettverk. Det beste hadde vært å benytte NT4.0,NT5.0 eller XP på elev maskinene også med bruker konto som gir liten eller ingen adgang til å forandre oppsett eller konfigurasjon. En bruker kan også nektes innstallasjons rettigheter, bruks rettigheter osv. inkl. Internett aksess om det er ønskelig. Internet aksess er det tenkt gjennom server.

 

Alle elevmaskiner er koblet til en HUB/switcgh som er koblet til server.

Alle lærer maskiner er koblet samme switch eller en egne switch som er koblet til server. Bør også kjøre en proxy som logger internett bruk og hva som lastes ned osv.

[Athlon Power]

Hvis noen av eleven har skillz er det jo ikke akkurat vanskelig dor dem og gå forbi Kontoer og kome på severen og gjøre ****skap. De kan vel også klare og finne passordet ved hjelp av progz som kain osv.

 

 

BobboZ

[pkalle]

Quote:

On 2002-03-05 17:43, Athlon Power skrev: Hvis noen av eleven har skillz er det jo ikke akkurat vanskelig dor dem og gå forbi Kontoer og kome på severen og gjøre ****skap. De kan vel også klare og finne passordet ved hjelp av progz som kain osv. BobboZ

 

Med Windows98 på "elev maskinene" er det fullt mulig å gjøre mye rart. Blant annet installere div. prog. Med Windows2000 eller XP blir dette noe verre for elevene. Om bruker ikke har rettigheter til å endre f.eks C: som er krypter og beskyttet gjennom disk-kvote. Innstallere nye programmer eller endre på konfig. Mulig, ja men mye vanskeligere om passord til server osv. endres mer en "1" gang i året, har brukende firewall mot elev segmentet som bare tilatter port80, 8080 f.eks så begynner det å bli vanskeligere. Om det benyttes e-post, kan epost server f eks ikke tilate exe,vbs osv filer. Det er også mulig å ikke knytte lærer maskiner og elev maskiner fysisk sammen. La elevnettet være for seg selv.

[PowerOfNow]

Er det virkelig behov for at det ene nettet skal se det andre og ikke omvendt?

 

hadde bare smellt opp en VLAN Switch(HP 2524M el.no) og kjørt dem på hvert sitt VLAN.

 

hadde så smelt opp en server med 3 nic og firwall.(1 til internett og 1 til elevnett og 1 til lærernett) Tror det skulle blitt vanskelig å kjøre noe kødd da.

[Loce]

Hei ja

 

Hvorfor ikke gjøre det enkelt

Sett opp en Smoothwall med tre nettverkskort.

Rød, gul og grønn sone

Grønn til lererne.

Gul til elevene.

Rød til internett

 

Skal ikke komme fra gul sone til grønn sone,

men det går motsatt vei.

 

Bare et forslag :smile:

 

 

Loce

[pkalle]

Om det bare er for å kunne ha aksess til Internett og andre enkle ting går det greit med en enkel "3 nettverkskort" løsning og en firewall. Skal det kjøres programvare løsninger fra server mot lærer maskinene og mot elevmaskinene som ikke berører hverandre bør det sattses på to adskilte nett med hver sin server. Som bare deler internett sammen.

 

Hardware og software løsning bør velges når behovet er kartlagt. Fremtidige oppgraderinger og daglig velikehold bør også vurderes nøye. Ikke morsomt å kofigurere og teste hele dagen :wink:

 

Hvor mange elevmaskiner, hva skal de brukes til?

Hvor mange lærermaskiner, osv

Nåværende hardware, programvare og hva kan kjøpes innen for de økonomiske rammer en har? osv.

 

Å ta i bruk en maskin med 3 nettverkskort til å være "sentral" for hele nettverket setter ganske store begrensniger for hva som kan gjøres i nettverket. Spesilet om vi snakker om et betydelig antall elevmaskiner.

[idander]

hei, hei!

Takk for alle svarene hittils.

 

Jeg tror det mest aktuelle av det dere har nevnt hittils er VLAN løsningen. Dette har jeg vært borti da jeg jobbet på Rikshospitalet, og syntes det fungerte bra. Hadde bare glemt hva det het :smile:

 

Det er vel dette som er det sikreste, og kan begrense nettverket der jeg selv ønsker.

 

Har dere noen ide om hvor mye det koster for en slik Ruter som støtter VLAN?

Den trenger ikke så veldig mange porter, for jeg ser for meg at maskinene kobles sammen i rutere, som igjen kobles til VLAN-ruteren som da fungerer som en slags "backbone" i nettverket.

 

mvh,

Idar

[Rockj]

Eit enkelt og greit tips er att eg ville aldri koblet maskinen med karakterer og hemmelige ting til same nettverk som elevene. Fordi viss elevene har kunnskaper om "cracking/hacking" så kan dei klare å komme gjennom. Alså, ingenting er umulig. Berre tiden som presser på. Eg har ingen kunnskaper om VLAN men har kunnskap om nettverk i sei sjølv og sikkerhet. Windows 2000/XP/NT er då det sikreste OS(selfølgelig bruke NTFS partisjoner), fordi viss du har Windows 95/98 kan du som enkelt boote opp ein bootdisk og skrive format c: og leiken er i gong. Ein ting du burde fortelle oss, skal alle elevene ha samme LOGIN/PASSORD eller for alle elevene kvar sitt?(viss kvarsitt kan du då logge dem etter Noreg's lover. Veit at lova om overvoking er streng berre). Viss elevene har kvar sitt brukernamn og passord ville det bli enklest å lage til sikkerhet så elevene ikkje roter det til. Kan gi eit lite eksempel som eg veit om:

 

Elevene har kvar sitt usernamn,passordet må skiftest kvar måne.

Alt elevarbeid o.s.v blir lagret på SERVEREN(NT er fint. Windows 2000 Server og Windows 2000 Advance Server skal vel også fungere.)

For då kan du bruke noke som er fortalt lengre oppe i eit innlegg. At du har då eit pålogging script som gjer at BRUKER(elev) for avgang til ServerElevUsername som då du kan lage automatisk snarevei som Z: . Vill sei alle elevene har kvar sitt område og så kan du lage til eit fellesområde viss elevene må dele noen filer med kvarandre.

 

For lærerene ville eg tru det same oppleget er bra nokk. Dette systemet vill då funke best om du har Windows 2000/Xp/NT? (har ikkje brukt/prøvd NT.) Men som sakt ville eg aldri koblet karakterer opp i eit LAN. Viss det trengst, bruk disketter(vil forutsjå at det ikkje er store filer då) :smile: Og bruk NTFS partisjoner siden dette ikkje er mulig og få tilgong til i DOS siden DOS bruker FAT systemet. Og NTFS kan du også legge til rettigheter at elever ikkje har tilgong til c: , berre der som er nødvendig. Men som sakt, til bedre sikkerhet du skal ha, til vanskligare blir det.

 

Håper dette hjelpe litt på veien og unnskyld at det blei så longt... Dette er jafall det eg kan hjelpe til med i første omgong. Viss noen andre leser det og her er feil, ver vennelig og rett på meg :smile:

[Rockj]

Har noe meir info. Min venn leste kva eg hadde skrevet men han synest eg burde legge til noe annet også.

 

Noe som heiter Novell Server og så har du Novel Klienter på maskinene. Eg har då for å si det aldri vore borti dette programet, men min venn seier dei bruker dette då på ein Vidergående Skule. Han meiner også dette ville vere det beste for skuler.

[copycatz]

Jeg har også en løsning som er relativt enkel og sikker: domener. Lag 2 domener - en for ansatte og en for studenter. Hver elev/lærer kan da få sin egen konto og et eget filområde på en server. Samtidig kan du da ha egne innstillinger og oppsett når en logger på maskinen.

 

Det er også en lett sak å definere "trust" mellom domenene slik at maskiner/brukere i det ene domenet kan få tilgang til maskiner (eller andre ressurser) i det andre domenet - men ikke omvent.

 

Hvis du i tillegg foretar en oppdeling av nettverket med VLAN vil dette være enda siktrere. Da tror jeg til og med de mest ivrige "wannabe" hackerene ikke har en sjanse...

[idander]

cheers, allesammen!

Mange gode forslag her!!!

Er oppsettet av flere domener enkelt på en NT server?

 

Egentlig er det unødvendig at alle står på et felles nettverk. Jeg har undersøkt dette, og lærerne har ingenting å gjøre på elevenes maskiner.

Men hvordan får en delt samme DSL linje på to separate nettverk? Min forståelse av nettverk er da at et eller annet punkt da i prinsippet vil fungere som en gateway mellom nettverkene. Og har man en gateway er det også i prinsippet mulig å få kontakt med det andre nettet.

 

Noen som vet om nettsider som beskriver oppsett av flere domener på samme server?

 

tusen takk for hjelpen så langt. takker og bukker, hilsen

Idar

[Stratos]

Banalt enkelt: Hvis du skal ha 2 nett separat, emd tilgang til samme backbone(internett), kan du ikke bare sette in 3 rutere? 1 til internett, og 1 til hver av de separate nettene med uplink til internett-ruter? Det er det første som datt in i hodet mitt.

 

Uansett, bør ikke dette være et vanskelig "case".

Bare gruble litt, og overtal skolen til å kjøre 2000 på elevmaskinene! Det hadde vært tingen! og kjørt begge nett i samme domene, men i forskjellige grupper, og med forskjellige Gruppepolicyer. (forutsetter 2000, og Active directory på server for at jeg skal vite eksakt hvordan). Så kjører man rett og slett Hitler-strenge policyer, med max sikkerhet, og minst mulig rettigheter til elevene, og "normale" rettigheter til lærere. En 2000 maskin kan settes opp som en "kiosk" der kun noen programmer kan brukes, og ingenting annet kan gjøres! Da får du ikke gjort mye galt!

 

Men hvis elevene er klin-sprø, og prøvver alle midler for å hacke skolen, sørg for å sette BIOS passord, disable boot fra a: og CD. Aller helst, kjør terminal server, med logging av hver eneste lille museklikk. :wink:

 

Vel, ikke bli helt paranoid heller da... Som meg...

[SuperFly]

Hei.. mange gode forslag her.

 

Men uansett hvor bra struktur du har på nettverket må du ha en bra passord strategi.

Vil fraråde deg det som Rockj foreslår, med bytting av passord hver månded.

 

Drifter selv nettverk med rundt 40 brukere. Dette er voksne folk.. de har problemer med å bytte passord hvert år!

 

Hva tror du vil skje når x antall skole elever skal bytte passord 1 gang i måneden.. tenker da på administrasjon. Eh.. admin?.. husker ikke det nye passordet mit.. .. kan du gi meg nytt..

 

Jeg vet heller ikke hvor lurt det er å la de bytte passord selv i det hele tatt. Det går fint an å sette opp at passordet skal ha en viss kompleksitet.. (x antall tegn, store/små bokstaver, tegn... ) MEN uansett så er det maskina som bestemmer om dette er komplekst .. passordet "Juli1980" ville kansje sett sikkert ut for w2k når en elev byttet.. si dette var fødselsdagen sin..Hvor vansekelig er det å jette dette passordet med minimal bakgrunnsjekk..

 

For å ungå slik mikk makk, gi dem et SIKKERT passord

8 tegn f.eks: iY72XhMq

å la dem ha det hele skoleåret heller.

 

Sleng gjerne inn tegn også ($) men da får admin sikkert mange smarte spørmål om hvor det tegnet er?

 

Sansynligheten er stor far elevene vil skrive ned passordet å ha det i penalet eller noe.. ikke særlig lurt med tanke på sikkerheten DEMS. Dette er noe som må formidles til dem.. sammenlign det med å oppbevare kode og kredittkort sammen.. DVS det er dems ansvar å holde passordet hemmelig. Og det er jo kun dem selv det går utover hvis de vaser det vekk eller lar andre få tilgang til det..

 

Det er dumt dere har win9x maskiner, når de sender ut påloggings informasjon er det ikke noe prolem å få tak i passordet. (tør ikke forklare nærmere pga av alle trådene som blir stoppa av MODERATORENE av ymse grunner her).

 

Har dere vurdert TS... tror dette mer er veien å gå.. men men.. pengene styrer

 

Uansett, lykke til med rigging av LAN

[maen_]

Ka me å smella opp ein novell-server. Trenge ikke mer enn ca pentium 133 eller någe sånn, viss an bare sga brugast som server for lagring av filer osv. Dvs at allle prog ligge lokalt på kver enkelt maskin. Husk at RAM må stå i "stil" med HD... Om d bare e snakk om få klientar så har Novell demoversjon t sånn ca 15 brugerar så e gratis. Addle kommunar har vel uanz novell liggande...

[OeO]

På skolen min bruker de Novell, dette funker veldig bra og hver elev har et eget hjemmeområde som er det eneste eleven har tilgang til. C: er helt sperret så der er det ikke så mye man får gjort. Lykke til

[Red Dog]

Det aller letteste er å lage et såkalt kraftig "Backbone" nettverk med en "Manageble" Switch fra CNet, 3Com eller noen slike, de går lett ann å programmere slik som du vil. og NT4.0 kan ikke ha flere domener, men NT 5.0 Server (W2K Server) kan. Jeg anbefaler at du kjøper og leser disse to bøkene: "Windows 2000 Server Architecture and Planning" ISBN: 1-57610-436-2 og Active Directory Bible ISBN : 0-7645-4762-3 Jeg holder nemmelig på å planlegge nytt nettverk på skolen jeg går på.. Prosjektet kan leses på: http://red-dog17.myftpsite.net/prosjekt2 men er forløpig ikke ferdig.. er forhåpentligvis ferdig til påsken.. men det står en del nyttige ting der fordeom..

 

_________________

Nothing is Fun before it get Difficult!

 

[ Denne Melding var redigert av: Red Dog på 2002-03-09 22:03 ]