צריך עזרה והמלצה בבחירת סויטש למשרד

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

צריך עזרה והמלצה בבחירת סויטש למשרד

נושא שלא נקרא #1 

מרחיבים את המשרד ואיש התקשורת נתן את האפשרויות הבאות:

ישנן 60~ נקודות רשת קווית
אין AD כי לא מדובר בציוד קבוע אלא מזדמן, יש 4 נקודות רשת בכל עמדה ויש 15 עמדות.
השימוש הינו לגלישה רגילה וחיבור מספר מכשירים שונים בכל חדר לבדיקת תקשורת פשוטה בינהם (יתכן ויחברו מידי פעם סויטשים קטנים בכל עמדה)
קיים ראוטר Ubiquiti UniFi Security Gateway

הדרישות:
1. בפורטים מסויימים להגדיר שרק MAC מסויים יוכל להתחבר
2. מניעת חיבור ראוטר לאחת הנקודות כדי למנוע כפל DHCP ברשת
3. מניעת "קצר" ,LOOP" אם מישהו יחליט לגשר 2 נקודות בכבל רשת
4. מניעת חיבור מחשב שיתחזה ל GW (חיבור מחשב והגדרת ה GW ידנית ושזה יוכל לגרום תקלה בגלישה)
5. כל דבר אחר שימנע ממשתמש להפיל את כלל הרשת

יבחרו 3 סויטשים זהים של 24 או 24+48, הגישור בינהם יהיה בגי'ביק 10G

האפשרויות הזולות יחסית אם אחת מהן תתאים אז מה טוב:
1. Cisco SG220-26P-K9-EU
2. Dlink DGS-1210-28/F1A
3. HPE OfficeConnect 1850 24G JL172A

האפשרויות היקרות יותר אם אין ברירה (הPOE לא נחוץ)
1. Cisco SG300-28PP-K9-EU
2. Dlink DGS-1210-28P/F1A
3. Aruba 2530 24G PoE+ Switch J9773A

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #2 

כמה נקודות. נתחיל מהציוד שהוזכר כאן.
Cisco SG220-26P-K9-EU ז''ל כבר יותר משנתיים, כך שזה סיבה מספיק טובה למה הוא לא מתאים לכלום.
Cisco SG300-28PP-K9-EU ז''ל גם כבר יותר משנה, כך שכנ''ל.
Dlink DGS-1210-28/F1A לא קיימים לו מנגנונים נדרשים וגם אין לו שום מקום לחבר ממשקים של 10G ( SFP+) , לצורך הגישור בין המתגים.
בדגם המדובר של HP ושל ARUBA כנ''ל לא קיימים מנגנוני הגנה נדרשים שיכולים לפעול בצורה תקינה.

עכשיו למה כן אפשר להשתמש. דבר ראשון הגישור בין המתגים מיותר לבצע עם GBIC , אלה עם כבל DAC , אם המתגים נמצאים באותו ארון תקשורת.
בשביל שלא ניתן יהיה להתחזות ל GW נדרש מתג L3 שיתפקד כ GW .

המתגים הזולים שניתן להשתמש ברמה של ציוד ביתי יהיו למשל מסדרה של DGS-1510 של D-LINK . המתגים האלה יכולים להתחבר בינהם ב LAG של 20G ולתפקד כ STACK אחיד .
אם לא נדרש POE אפשר להשתמש במתג אחת של 52 פורטים , DGS-1510-52X ועוד מתג אחד של 16 פורטים DGS-1510-20 .

רק צריך לקחת בחשבון שצריך גם להגדיר את המתגים.

mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #3 

אכן ההצעה קצת ישנה ועכשיו נכנסים לעבודה, אז לפי מה שאני רואה הדגמים אכן השתנו בסיסקו
נגידו ומדובר בדגמים:
Cisco 250X
Cisco 350X
מתאימים למשימה?

מה לגבי דגמים אחרים של HP או ארובה שכן יכולים להתאים?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #4 

לא, דגמים האלה של CISCO לא מתאימים, מה שמתאים לצרכים המדוברים זה מוצרים מסדרת catalyst , אבל זה כבר מחירים אחרים לגמרי ובגלל זה אני אפילו לא אכנס לזה. גם ל HP מוצרים שנותנים מענה לצרכים המדוברים כבר נמצאים לא בסדרות של SOHO , אלה בסדרות של המבוגרים ובגלל זה גם הם מתומחרים אחרת לגמרי.
את הדוגמה של DLINK ספציפי ההוא נתתי בגלל שבמחיר הזול במיוחד שלו ( כ 1300$ למתג 52 פורטים עם POE PLUS או כ 760$ ללא POE ) הוא נותן כבר את רוב המנגנונים הנדרשים לניהול ולדיאגנוסטיקה בסיסית של רשת קטנה של בית או משרד ביתי. גם הממשק ניהול CLI שלו די דומה לממשק של IOS שב CISCO ולא נדרש ללמוד INTERPRETER חדש. גם כמובן שצריך יהיה להגדיר שרת RADIUS שיעבוד מולו ויזהה את ההתקנים וייתן להם הרשאות מתאימות.

mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #5 

תוכל בבקשה לרשום לי איך נקרא כל "מנגנון" כזה לפי הסעיפים שרשמתי 1-5 שאדע מה לחפש בסויטש ואולי לוותר על אחד מהם אם זה מצריך בכלל מעבר לציוד אחר בעלויות אחרות ומצריך תחזוקה אחרת.

בכל אופן אני רוצה עוד אפשרות בנוסף ל DLINK.

לא חושב להקים רדיוס שכן לא יונפקו יוזרים וסיסמאות למשתמשי הקצה.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #6 

כל "מנגנון" כזה לפי הסעיפים שרשמת 1-5, הוא אפילו לא בכל המקרים אלה לא מנגנון אחד, אלה שזה שילוב של מספר מנגנונים שבעזרתם משיגים את הדרישות אלה וגם לפעמים המנגנונים אלה משותפים למספר סעיפים, כך שלא תמיד גם ניתן להפריד אותם או לוותר על אחד מהם, אם רוצים לוותר על אחד הסעיפים.
בנוסף לזה חלק מהבעיפים ניתן להשיג על ידי שימוש במנגנונים שוניםף אבל ביעילות וגמישות שונות. למשל את סעיף אחד ניתן לממש בצורה תקנית גם על ידי שימוש ב 802.1x, אבל, אם ממש רוצים אז אפשר גם על ידי שימוש ב switchport port-security mac-address sticky , רק שזה יהיה מגביל, מסורבל ומצריך הגדרות ידניות מרובות. כך גם בכל הסעיפים האחרים.
כמו כן, אין שום טעם לרשום את השמות של המנגנונים כפי שהם מופעים אצל יצרן אחד, מכיוון שלכל יצרן הם יהיו בשם אחר. למשל מנגנון שב CISCO מכונה STACKING , אצל חלק מיצרנים יכונה TRUNKING, דבר שב CISCO הוא משמש לנושא אחר לגמרי. זו הסיבה שפשוט צריך להכיר את המוצרים המוגדרים של יצרנים מוגדרים ואת היכולות שלהם.
כמובן גם לא נתתי את האפשרויות אחרות מתאימות של יצרנים אחרים, בגלל שמתג בעל יכולות המדוברות של CISCO למשל יהיה מתומחר באיזור של 15K של דולרים ושל HP , כ 8 קילו דולרים, ולפי איך שזה מסתמן זה לא המקרה שמוכנים לשלם על ציוד בסדרי גודל שמחירים. מצד שני להרבה של יצרנים קיימים ים של מתגים מסדרות SOHO או SMB שרוב האפשרויות הנדרשות מוכרזות במפרט... אבל! בפועל הן פשוט לא שמישות, לא מתפקדות או ממומשות עם מגבלות בלתי אפשריות כאלה עד שכבר לא כדאי להזכיר אותן בכלל.
בקשר לשרת RADIUS, זה מנגנון בין המרכזיים מבין המנגנונים של שרידות ושל אבטחה ברשת ובלעדיו חלק גדול מהרצונות שהוכרזו בהתחלה יהיו בלתי אפשריים. כמו כן, הוא משמש לזיהוי לא רק במשתמשים וסיסמאות, אלה גם בשילוב של MAC עם נתונים אחרים של ציוד, רק שזה יותר מסורבל ועדיף לכל התקן רשת לקבוע חשבון מוגדר עם המאפיינים הרצויים.
טוב על סעיף אחד כבר כתבתי שהוא מושג על ידי static cam table בכל צורה, אז סעיף שתיים יכול להתבצע למשל על ידי שימוש ב DHCP Snooping בשילוב עם תשתיות של AAA שגם הם מצריכים או RADIUS או TACACS+ או את LDAP. כמובן שמימוש של RADIUS יהיה הכי פשוט מבינהם.
בהקשר של סעיף שלוש אפשר להזכיר שילוב של כמה מנגנונים כמו mstp ועם מנגנון נוסף של BPDU Guard ו loopback-detection .
את סעיף שלוש מבצעים בשילוב של מתג ושל הנתב וזה מכונה בשם static arp .

אלה רק כמה מהטעימות של שמות המנגנונים הנדרשים, שלצידם חייבים להיות מופעלים ומוגדרים מנגנונים נוספים כמו: BPDU Attack Protection, storm-control, dos-prevention, ARP Spoofing Prevention, MAC Authentication ומנגנוני זיהוי תקלות חיווט ושל תשתיות כמו cable-diagnostics tdr למשל.

Scanner
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 511
הצטרף: אוגוסט 2010
נתן תודות: 9 פעמים
קיבל תודות: 24 פעמים

נושא שלא נקרא #7 

במתארים מסוימים, לא הייתי חושש מציוד שהוכרז ז"ל.
המחירים (בעיקר באיביי וכו') ברצפה ובתור מתגי LAN (ללא גישה לאינטרנט כמובן) ברשתות משרדיות בהן החשש מפעילות לא תקינה מצד המשתמשים נמוך, זו אופציה לא רעה בכלל.

mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #8 

לא ראיתי שזה יוצא יותר זול מהארץ

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #9 

@Scanner
·
ציוד EOL הוא כמעט תמיד דבר שלא היגיוני ומסוכן לרכוש אותו ולהשתמש בו. אני כבר לא מדבר על זה שבמקרה ספציפי זה הציוד גם לא עונה על דרישות מינימום של שהוזכרו כאן וגם במקרה כללי ציוד EOL יהיה בעל מפרט לא עדכני ולא רלוונטי לשימוש של היום. אני כבר לא מדבר אפילו שציוד EOL נמכר אחרי שהיה זרוק בג'נקייה כלשהיא שנים, כי אחסנה נאותה של ציוד כזה בשנים אלה תעלה יותר ממנו בהרבה. אני אפילו לא מדבר שלא ניתן יהיה לקבל שום שרות או אחריות על ציוד כזה.
אבל בעייה הכי מרכזית היא בזה שציוד כזה יהיה מסוכן ביותר לשימוש מבחינת אבטחת מידע גם לשימוש ביתי וכמובן גם לשימוש עסקי משרדי. בגלל שציוד זה לא זוכה יותר לעדכוני FIRMWARE , שפותרים את הבעיות אבטחה שמתגלות בו חדשות לבקרים, הוא משמש למטרה קלה של כל מי שרוצה להשתלט עליו, לשנות את התצורה של הרשת ואחרי זה לעשות שמות ברשת כולה ובכל הציוד שמחובר עלייה. ובשביל זה אפילו לא נדרש שציוד זה יהיה נגיש לצד האנטרנט, אלה מספיק שאחד המשתמשים שמחוברים דרכו יקבל קובץ ויריץ אותו ואחרי זה כבר סיפור גמור לכל הרשת כולה.
אני לא אפרט כאן את כל האירועים שהתרחשו לנו בהקשר זה בשנים אחרונות ופוסמו בציבור הרחב, אלה רק את החלק הקטן מאלה שקשורים לציוד שדובר עליו בפוסט הראשון:
Security bugs in popular Cisco switch brand allow hackers to take over devices
The three vulnerabilities are as bad as it gets in terms of security flaws -- an authentication bypass, a remote code execution, and a command injection.
https://www.zdnet.com/article/security- ... r-devices/

Critical vulnerability issued for Cisco switches
https://www.scmagazine.com/home/securit ... -switches/

Cisco Patches 13 High-Severity Router and Switch Bugs
https://threatpost.com/cisco-high-sever ... -2/148706/

Critical SSH Key Vulnerability in Cisco Switches let Hackers to Access the Vulnerable System Remotely
https://gbhackers.com/critical-ssh-key- ... -switches/

מיותר לציין שציודים שנמצאים במחזור חיים שלהם זוכים לתיקון של הבעיות אלה מהר מאוד. ומדובר אפילו של יצרנים כמו D-LINK.
ואם כבר הזכרתי את הסדרה DGS-1510 , אז ניתן לספר שתוכנה אפילו למתגים זולים אלה מתעדכנת כמעט על בסיס חודשי. והעדכונים אלה ניתן כמובן לבצע בצורה אוטומטית ומתוזמנת. צירפתי צילומי מסך בהקשר זה מהאתר של החברה ומהאחד הציודים שלי.

mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #10 

תודה על ההסברים המקיפים.

אציין שאין ברשת מידע חשוב, אמנם זה משרד אבל לא יקרה אסון אם הרשת תושבת עד כמה שעות עד שתיפתר הבעיה
לא הולכים לשבת בעמדות האקרים או ילדים של האקרים
סך הכל עובדים שבאים להשתמש ברשת כדי לבדוק את הציוד שהם עובדים איתו או לגלוש לצרכי עבודה
אז רק מנסים למצא איזון בין זה לבין להפחית כמה שאפשר תקלות מבלי להשתולל עם האבטחה עד אין סוף, כי אין לזה סוף
גם סביר להניח שאחרי שהציוד יוגדר לא יבוצעו קריאות שרות לעדכונים שוטפים אלא רק בהזדמנויות שבהם יוחלף הציוד קבע (שעבורו צריך לאבטח פורט שלא יחובר אליו ציוד אחר) שזה מקרה שאולי יקרה אחת ל 1-2 שנים (למשל שלא ינתקו מדפסת/טלפון ויחברו מחשב...) או כאלו שמתעצלים לברר מה ססמת ה WIFI ופשוט מחברים ראוטר אלחוטי משלהם, או שרואים חוט מנותק בצד אחד ומחברים אותו לנקודת רשת ויוצרים LOOP כי לא בדקו איפה הקצה השני שלו וכו'

התקציב לכל סויטש (24) הינו 3000 שח לערך.
לקחתי את תשומת ליבי לגבי ה DLINK, אך מעדיף לשקול עוד אפשרות דומה.

Scanner
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 511
הצטרף: אוגוסט 2010
נתן תודות: 9 פעמים
קיבל תודות: 24 פעמים

נושא שלא נקרא #11 

@sys_admin
·לא בדיוק מסכים איתך :)
כמו שכתבתי, אני חושב שציוד EOL מתאים במתארים מסוימים. לגבי מפרט לא עדכני וחוסר תאימות (ללא התייחסות לאבטחה בשלב זה) - אילו פונקציות חסרות בסדרת 2960S של סיסקו, לדוגמה, בשימוש משרדי פשוט כמו שצוין (או דומה לו)? בטח לסביבת בדיקות.

לגבי שירות, כמובן שמסכים. ציוד כזה רלוונטי רק במידה וניתן לטפל בתקלות באופן עצמאי. אישית, כשהשתמשתי בסדרה דומה לפרויקט אישי דומה, רכשתי ציוד כפול וקנפגתי את שני המתגים. קרה משהו למתג וצריך פתרון מהיר? עבור למתג השני. המחירים ברצפה.

לגבי אבטחה, כפי שכתבתי, ציוד כזה יתאים אך ורק לסביבת LAN בלבד בה ניתן לסמוך על המשתמשים ברמה גבוהה. בינינו, מרבית הסביבות בכל מקרה לא מבצעות עדכונים לציוד הרשת גם בסביבות אינטרנט מוחלטות (ושיהיה להם בהצלחה).

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #12 

@Scanner
·
בקשר לציוד מהג'נק שבקישור שצירפת. אם לא די בכך שלציודים אלה אין לא שירות ולא אחריות, בכך שכל משתמש שיוריד מאינטרנט קובץ זדוני ויריץ אותו מבלי שהוא מבין למה הוא גורם, יגרום להשבתה של הרשת או להשתלטות עלייה ולהפיכה שלה ל botnet, אז אפילו על התכונות הנדרשות שפורטו על ידי פותח הדיון עין כלל מה לדבר, אלה אפילו ממשקים פיזיים של המתג זה לא כוללים את מה שנדרש בתחילת הדיון, שזה: " הגישור בינהם יהיה בגי'ביק 10G" .
כך שגם ממקרה זה, בדיוק כמו במקרים אחרים אסור בתכלית האיסור להשתמש בציוד שהוא EOL ופי כמה וכמה בציוד שבא מג'נקיידות שונות.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”