מרחיבים את המשרד ואיש התקשורת נתן את האפשרויות הבאות:
ישנן 60~ נקודות רשת קווית
אין AD כי לא מדובר בציוד קבוע אלא מזדמן, יש 4 נקודות רשת בכל עמדה ויש 15 עמדות.
השימוש הינו לגלישה רגילה וחיבור מספר מכשירים שונים בכל חדר לבדיקת תקשורת פשוטה בינהם (יתכן ויחברו מידי פעם סויטשים קטנים בכל עמדה)
קיים ראוטר Ubiquiti UniFi Security Gateway
הדרישות:
1. בפורטים מסויימים להגדיר שרק MAC מסויים יוכל להתחבר
2. מניעת חיבור ראוטר לאחת הנקודות כדי למנוע כפל DHCP ברשת
3. מניעת "קצר" ,LOOP" אם מישהו יחליט לגשר 2 נקודות בכבל רשת
4. מניעת חיבור מחשב שיתחזה ל GW (חיבור מחשב והגדרת ה GW ידנית ושזה יוכל לגרום תקלה בגלישה)
5. כל דבר אחר שימנע ממשתמש להפיל את כלל הרשת
יבחרו 3 סויטשים זהים של 24 או 24+48, הגישור בינהם יהיה בגי'ביק 10G
האפשרויות הזולות יחסית אם אחת מהן תתאים אז מה טוב:
1. Cisco SG220-26P-K9-EU
2. Dlink DGS-1210-28/F1A
3. HPE OfficeConnect 1850 24G JL172A
האפשרויות היקרות יותר אם אין ברירה (הPOE לא נחוץ)
1. Cisco SG300-28PP-K9-EU
2. Dlink DGS-1210-28P/F1A
3. Aruba 2530 24G PoE+ Switch J9773A
צריך עזרה והמלצה בבחירת סויטש למשרד
- sys_admin
-
- חבר מביא חבר
- הודעות: 3685
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 718 פעמים
כמה נקודות. נתחיל מהציוד שהוזכר כאן.
Cisco SG220-26P-K9-EU ז''ל כבר יותר משנתיים, כך שזה סיבה מספיק טובה למה הוא לא מתאים לכלום.
Cisco SG300-28PP-K9-EU ז''ל גם כבר יותר משנה, כך שכנ''ל.
Dlink DGS-1210-28/F1A לא קיימים לו מנגנונים נדרשים וגם אין לו שום מקום לחבר ממשקים של 10G ( SFP+) , לצורך הגישור בין המתגים.
בדגם המדובר של HP ושל ARUBA כנ''ל לא קיימים מנגנוני הגנה נדרשים שיכולים לפעול בצורה תקינה.
עכשיו למה כן אפשר להשתמש. דבר ראשון הגישור בין המתגים מיותר לבצע עם GBIC , אלה עם כבל DAC , אם המתגים נמצאים באותו ארון תקשורת.
בשביל שלא ניתן יהיה להתחזות ל GW נדרש מתג L3 שיתפקד כ GW .
המתגים הזולים שניתן להשתמש ברמה של ציוד ביתי יהיו למשל מסדרה של DGS-1510 של D-LINK . המתגים האלה יכולים להתחבר בינהם ב LAG של 20G ולתפקד כ STACK אחיד .
אם לא נדרש POE אפשר להשתמש במתג אחת של 52 פורטים , DGS-1510-52X ועוד מתג אחד של 16 פורטים DGS-1510-20 .
רק צריך לקחת בחשבון שצריך גם להגדיר את המתגים.
Cisco SG220-26P-K9-EU ז''ל כבר יותר משנתיים, כך שזה סיבה מספיק טובה למה הוא לא מתאים לכלום.
Cisco SG300-28PP-K9-EU ז''ל גם כבר יותר משנה, כך שכנ''ל.
Dlink DGS-1210-28/F1A לא קיימים לו מנגנונים נדרשים וגם אין לו שום מקום לחבר ממשקים של 10G ( SFP+) , לצורך הגישור בין המתגים.
בדגם המדובר של HP ושל ARUBA כנ''ל לא קיימים מנגנוני הגנה נדרשים שיכולים לפעול בצורה תקינה.
עכשיו למה כן אפשר להשתמש. דבר ראשון הגישור בין המתגים מיותר לבצע עם GBIC , אלה עם כבל DAC , אם המתגים נמצאים באותו ארון תקשורת.
בשביל שלא ניתן יהיה להתחזות ל GW נדרש מתג L3 שיתפקד כ GW .
המתגים הזולים שניתן להשתמש ברמה של ציוד ביתי יהיו למשל מסדרה של DGS-1510 של D-LINK . המתגים האלה יכולים להתחבר בינהם ב LAG של 20G ולתפקד כ STACK אחיד .
אם לא נדרש POE אפשר להשתמש במתג אחת של 52 פורטים , DGS-1510-52X ועוד מתג אחד של 16 פורטים DGS-1510-20 .
רק צריך לקחת בחשבון שצריך גם להגדיר את המתגים.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3685
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 718 פעמים
לא, דגמים האלה של CISCO לא מתאימים, מה שמתאים לצרכים המדוברים זה מוצרים מסדרת catalyst , אבל זה כבר מחירים אחרים לגמרי ובגלל זה אני אפילו לא אכנס לזה. גם ל HP מוצרים שנותנים מענה לצרכים המדוברים כבר נמצאים לא בסדרות של SOHO , אלה בסדרות של המבוגרים ובגלל זה גם הם מתומחרים אחרת לגמרי.
את הדוגמה של DLINK ספציפי ההוא נתתי בגלל שבמחיר הזול במיוחד שלו ( כ 1300$ למתג 52 פורטים עם POE PLUS או כ 760$ ללא POE ) הוא נותן כבר את רוב המנגנונים הנדרשים לניהול ולדיאגנוסטיקה בסיסית של רשת קטנה של בית או משרד ביתי. גם הממשק ניהול CLI שלו די דומה לממשק של IOS שב CISCO ולא נדרש ללמוד INTERPRETER חדש. גם כמובן שצריך יהיה להגדיר שרת RADIUS שיעבוד מולו ויזהה את ההתקנים וייתן להם הרשאות מתאימות.
את הדוגמה של DLINK ספציפי ההוא נתתי בגלל שבמחיר הזול במיוחד שלו ( כ 1300$ למתג 52 פורטים עם POE PLUS או כ 760$ ללא POE ) הוא נותן כבר את רוב המנגנונים הנדרשים לניהול ולדיאגנוסטיקה בסיסית של רשת קטנה של בית או משרד ביתי. גם הממשק ניהול CLI שלו די דומה לממשק של IOS שב CISCO ולא נדרש ללמוד INTERPRETER חדש. גם כמובן שצריך יהיה להגדיר שרת RADIUS שיעבוד מולו ויזהה את ההתקנים וייתן להם הרשאות מתאימות.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3685
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 718 פעמים
כל "מנגנון" כזה לפי הסעיפים שרשמת 1-5, הוא אפילו לא בכל המקרים אלה לא מנגנון אחד, אלה שזה שילוב של מספר מנגנונים שבעזרתם משיגים את הדרישות אלה וגם לפעמים המנגנונים אלה משותפים למספר סעיפים, כך שלא תמיד גם ניתן להפריד אותם או לוותר על אחד מהם, אם רוצים לוותר על אחד הסעיפים.
בנוסף לזה חלק מהבעיפים ניתן להשיג על ידי שימוש במנגנונים שוניםף אבל ביעילות וגמישות שונות. למשל את סעיף אחד ניתן לממש בצורה תקנית גם על ידי שימוש ב 802.1x, אבל, אם ממש רוצים אז אפשר גם על ידי שימוש ב switchport port-security mac-address sticky , רק שזה יהיה מגביל, מסורבל ומצריך הגדרות ידניות מרובות. כך גם בכל הסעיפים האחרים.
כמו כן, אין שום טעם לרשום את השמות של המנגנונים כפי שהם מופעים אצל יצרן אחד, מכיוון שלכל יצרן הם יהיו בשם אחר. למשל מנגנון שב CISCO מכונה STACKING , אצל חלק מיצרנים יכונה TRUNKING, דבר שב CISCO הוא משמש לנושא אחר לגמרי. זו הסיבה שפשוט צריך להכיר את המוצרים המוגדרים של יצרנים מוגדרים ואת היכולות שלהם.
כמובן גם לא נתתי את האפשרויות אחרות מתאימות של יצרנים אחרים, בגלל שמתג בעל יכולות המדוברות של CISCO למשל יהיה מתומחר באיזור של 15K של דולרים ושל HP , כ 8 קילו דולרים, ולפי איך שזה מסתמן זה לא המקרה שמוכנים לשלם על ציוד בסדרי גודל שמחירים. מצד שני להרבה של יצרנים קיימים ים של מתגים מסדרות SOHO או SMB שרוב האפשרויות הנדרשות מוכרזות במפרט... אבל! בפועל הן פשוט לא שמישות, לא מתפקדות או ממומשות עם מגבלות בלתי אפשריות כאלה עד שכבר לא כדאי להזכיר אותן בכלל.
בקשר לשרת RADIUS, זה מנגנון בין המרכזיים מבין המנגנונים של שרידות ושל אבטחה ברשת ובלעדיו חלק גדול מהרצונות שהוכרזו בהתחלה יהיו בלתי אפשריים. כמו כן, הוא משמש לזיהוי לא רק במשתמשים וסיסמאות, אלה גם בשילוב של MAC עם נתונים אחרים של ציוד, רק שזה יותר מסורבל ועדיף לכל התקן רשת לקבוע חשבון מוגדר עם המאפיינים הרצויים.
טוב על סעיף אחד כבר כתבתי שהוא מושג על ידי static cam table בכל צורה, אז סעיף שתיים יכול להתבצע למשל על ידי שימוש ב DHCP Snooping בשילוב עם תשתיות של AAA שגם הם מצריכים או RADIUS או TACACS+ או את LDAP. כמובן שמימוש של RADIUS יהיה הכי פשוט מבינהם.
בהקשר של סעיף שלוש אפשר להזכיר שילוב של כמה מנגנונים כמו mstp ועם מנגנון נוסף של BPDU Guard ו loopback-detection .
את סעיף שלוש מבצעים בשילוב של מתג ושל הנתב וזה מכונה בשם static arp .
אלה רק כמה מהטעימות של שמות המנגנונים הנדרשים, שלצידם חייבים להיות מופעלים ומוגדרים מנגנונים נוספים כמו: BPDU Attack Protection, storm-control, dos-prevention, ARP Spoofing Prevention, MAC Authentication ומנגנוני זיהוי תקלות חיווט ושל תשתיות כמו cable-diagnostics tdr למשל.
בנוסף לזה חלק מהבעיפים ניתן להשיג על ידי שימוש במנגנונים שוניםף אבל ביעילות וגמישות שונות. למשל את סעיף אחד ניתן לממש בצורה תקנית גם על ידי שימוש ב 802.1x, אבל, אם ממש רוצים אז אפשר גם על ידי שימוש ב switchport port-security mac-address sticky , רק שזה יהיה מגביל, מסורבל ומצריך הגדרות ידניות מרובות. כך גם בכל הסעיפים האחרים.
כמו כן, אין שום טעם לרשום את השמות של המנגנונים כפי שהם מופעים אצל יצרן אחד, מכיוון שלכל יצרן הם יהיו בשם אחר. למשל מנגנון שב CISCO מכונה STACKING , אצל חלק מיצרנים יכונה TRUNKING, דבר שב CISCO הוא משמש לנושא אחר לגמרי. זו הסיבה שפשוט צריך להכיר את המוצרים המוגדרים של יצרנים מוגדרים ואת היכולות שלהם.
כמובן גם לא נתתי את האפשרויות אחרות מתאימות של יצרנים אחרים, בגלל שמתג בעל יכולות המדוברות של CISCO למשל יהיה מתומחר באיזור של 15K של דולרים ושל HP , כ 8 קילו דולרים, ולפי איך שזה מסתמן זה לא המקרה שמוכנים לשלם על ציוד בסדרי גודל שמחירים. מצד שני להרבה של יצרנים קיימים ים של מתגים מסדרות SOHO או SMB שרוב האפשרויות הנדרשות מוכרזות במפרט... אבל! בפועל הן פשוט לא שמישות, לא מתפקדות או ממומשות עם מגבלות בלתי אפשריות כאלה עד שכבר לא כדאי להזכיר אותן בכלל.
בקשר לשרת RADIUS, זה מנגנון בין המרכזיים מבין המנגנונים של שרידות ושל אבטחה ברשת ובלעדיו חלק גדול מהרצונות שהוכרזו בהתחלה יהיו בלתי אפשריים. כמו כן, הוא משמש לזיהוי לא רק במשתמשים וסיסמאות, אלה גם בשילוב של MAC עם נתונים אחרים של ציוד, רק שזה יותר מסורבל ועדיף לכל התקן רשת לקבוע חשבון מוגדר עם המאפיינים הרצויים.
טוב על סעיף אחד כבר כתבתי שהוא מושג על ידי static cam table בכל צורה, אז סעיף שתיים יכול להתבצע למשל על ידי שימוש ב DHCP Snooping בשילוב עם תשתיות של AAA שגם הם מצריכים או RADIUS או TACACS+ או את LDAP. כמובן שמימוש של RADIUS יהיה הכי פשוט מבינהם.
בהקשר של סעיף שלוש אפשר להזכיר שילוב של כמה מנגנונים כמו mstp ועם מנגנון נוסף של BPDU Guard ו loopback-detection .
את סעיף שלוש מבצעים בשילוב של מתג ושל הנתב וזה מכונה בשם static arp .
אלה רק כמה מהטעימות של שמות המנגנונים הנדרשים, שלצידם חייבים להיות מופעלים ומוגדרים מנגנונים נוספים כמו: BPDU Attack Protection, storm-control, dos-prevention, ARP Spoofing Prevention, MAC Authentication ומנגנוני זיהוי תקלות חיווט ושל תשתיות כמו cable-diagnostics tdr למשל.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3685
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 718 פעמים
@Scanner
·
ציוד EOL הוא כמעט תמיד דבר שלא היגיוני ומסוכן לרכוש אותו ולהשתמש בו. אני כבר לא מדבר על זה שבמקרה ספציפי זה הציוד גם לא עונה על דרישות מינימום של שהוזכרו כאן וגם במקרה כללי ציוד EOL יהיה בעל מפרט לא עדכני ולא רלוונטי לשימוש של היום. אני כבר לא מדבר אפילו שציוד EOL נמכר אחרי שהיה זרוק בג'נקייה כלשהיא שנים, כי אחסנה נאותה של ציוד כזה בשנים אלה תעלה יותר ממנו בהרבה. אני אפילו לא מדבר שלא ניתן יהיה לקבל שום שרות או אחריות על ציוד כזה.
אבל בעייה הכי מרכזית היא בזה שציוד כזה יהיה מסוכן ביותר לשימוש מבחינת אבטחת מידע גם לשימוש ביתי וכמובן גם לשימוש עסקי משרדי. בגלל שציוד זה לא זוכה יותר לעדכוני FIRMWARE , שפותרים את הבעיות אבטחה שמתגלות בו חדשות לבקרים, הוא משמש למטרה קלה של כל מי שרוצה להשתלט עליו, לשנות את התצורה של הרשת ואחרי זה לעשות שמות ברשת כולה ובכל הציוד שמחובר עלייה. ובשביל זה אפילו לא נדרש שציוד זה יהיה נגיש לצד האנטרנט, אלה מספיק שאחד המשתמשים שמחוברים דרכו יקבל קובץ ויריץ אותו ואחרי זה כבר סיפור גמור לכל הרשת כולה.
אני לא אפרט כאן את כל האירועים שהתרחשו לנו בהקשר זה בשנים אחרונות ופוסמו בציבור הרחב, אלה רק את החלק הקטן מאלה שקשורים לציוד שדובר עליו בפוסט הראשון:
Security bugs in popular Cisco switch brand allow hackers to take over devices
The three vulnerabilities are as bad as it gets in terms of security flaws -- an authentication bypass, a remote code execution, and a command injection.
https://www.zdnet.com/article/security- ... r-devices/
Critical vulnerability issued for Cisco switches
https://www.scmagazine.com/home/securit ... -switches/
Cisco Patches 13 High-Severity Router and Switch Bugs
https://threatpost.com/cisco-high-sever ... -2/148706/
Critical SSH Key Vulnerability in Cisco Switches let Hackers to Access the Vulnerable System Remotely
https://gbhackers.com/critical-ssh-key- ... -switches/
מיותר לציין שציודים שנמצאים במחזור חיים שלהם זוכים לתיקון של הבעיות אלה מהר מאוד. ומדובר אפילו של יצרנים כמו D-LINK.
ואם כבר הזכרתי את הסדרה DGS-1510 , אז ניתן לספר שתוכנה אפילו למתגים זולים אלה מתעדכנת כמעט על בסיס חודשי. והעדכונים אלה ניתן כמובן לבצע בצורה אוטומטית ומתוזמנת. צירפתי צילומי מסך בהקשר זה מהאתר של החברה ומהאחד הציודים שלי.
·
ציוד EOL הוא כמעט תמיד דבר שלא היגיוני ומסוכן לרכוש אותו ולהשתמש בו. אני כבר לא מדבר על זה שבמקרה ספציפי זה הציוד גם לא עונה על דרישות מינימום של שהוזכרו כאן וגם במקרה כללי ציוד EOL יהיה בעל מפרט לא עדכני ולא רלוונטי לשימוש של היום. אני כבר לא מדבר אפילו שציוד EOL נמכר אחרי שהיה זרוק בג'נקייה כלשהיא שנים, כי אחסנה נאותה של ציוד כזה בשנים אלה תעלה יותר ממנו בהרבה. אני אפילו לא מדבר שלא ניתן יהיה לקבל שום שרות או אחריות על ציוד כזה.
אבל בעייה הכי מרכזית היא בזה שציוד כזה יהיה מסוכן ביותר לשימוש מבחינת אבטחת מידע גם לשימוש ביתי וכמובן גם לשימוש עסקי משרדי. בגלל שציוד זה לא זוכה יותר לעדכוני FIRMWARE , שפותרים את הבעיות אבטחה שמתגלות בו חדשות לבקרים, הוא משמש למטרה קלה של כל מי שרוצה להשתלט עליו, לשנות את התצורה של הרשת ואחרי זה לעשות שמות ברשת כולה ובכל הציוד שמחובר עלייה. ובשביל זה אפילו לא נדרש שציוד זה יהיה נגיש לצד האנטרנט, אלה מספיק שאחד המשתמשים שמחוברים דרכו יקבל קובץ ויריץ אותו ואחרי זה כבר סיפור גמור לכל הרשת כולה.
אני לא אפרט כאן את כל האירועים שהתרחשו לנו בהקשר זה בשנים אחרונות ופוסמו בציבור הרחב, אלה רק את החלק הקטן מאלה שקשורים לציוד שדובר עליו בפוסט הראשון:
Security bugs in popular Cisco switch brand allow hackers to take over devices
The three vulnerabilities are as bad as it gets in terms of security flaws -- an authentication bypass, a remote code execution, and a command injection.
https://www.zdnet.com/article/security- ... r-devices/
Critical vulnerability issued for Cisco switches
https://www.scmagazine.com/home/securit ... -switches/
Cisco Patches 13 High-Severity Router and Switch Bugs
https://threatpost.com/cisco-high-sever ... -2/148706/
Critical SSH Key Vulnerability in Cisco Switches let Hackers to Access the Vulnerable System Remotely
https://gbhackers.com/critical-ssh-key- ... -switches/
מיותר לציין שציודים שנמצאים במחזור חיים שלהם זוכים לתיקון של הבעיות אלה מהר מאוד. ומדובר אפילו של יצרנים כמו D-LINK.
ואם כבר הזכרתי את הסדרה DGS-1510 , אז ניתן לספר שתוכנה אפילו למתגים זולים אלה מתעדכנת כמעט על בסיס חודשי. והעדכונים אלה ניתן כמובן לבצע בצורה אוטומטית ומתוזמנת. צירפתי צילומי מסך בהקשר זה מהאתר של החברה ומהאחד הציודים שלי.
- mescaline (פותח השרשור)
-
- חבר ותיק
- הודעות: 1879
- הצטרף: ספטמבר 2018
- נתן תודות: 57 פעמים
- קיבל תודות: 143 פעמים
תודה על ההסברים המקיפים.
אציין שאין ברשת מידע חשוב, אמנם זה משרד אבל לא יקרה אסון אם הרשת תושבת עד כמה שעות עד שתיפתר הבעיה
לא הולכים לשבת בעמדות האקרים או ילדים של האקרים
סך הכל עובדים שבאים להשתמש ברשת כדי לבדוק את הציוד שהם עובדים איתו או לגלוש לצרכי עבודה
אז רק מנסים למצא איזון בין זה לבין להפחית כמה שאפשר תקלות מבלי להשתולל עם האבטחה עד אין סוף, כי אין לזה סוף
גם סביר להניח שאחרי שהציוד יוגדר לא יבוצעו קריאות שרות לעדכונים שוטפים אלא רק בהזדמנויות שבהם יוחלף הציוד קבע (שעבורו צריך לאבטח פורט שלא יחובר אליו ציוד אחר) שזה מקרה שאולי יקרה אחת ל 1-2 שנים (למשל שלא ינתקו מדפסת/טלפון ויחברו מחשב...) או כאלו שמתעצלים לברר מה ססמת ה WIFI ופשוט מחברים ראוטר אלחוטי משלהם, או שרואים חוט מנותק בצד אחד ומחברים אותו לנקודת רשת ויוצרים LOOP כי לא בדקו איפה הקצה השני שלו וכו'
התקציב לכל סויטש (24) הינו 3000 שח לערך.
לקחתי את תשומת ליבי לגבי ה DLINK, אך מעדיף לשקול עוד אפשרות דומה.
אציין שאין ברשת מידע חשוב, אמנם זה משרד אבל לא יקרה אסון אם הרשת תושבת עד כמה שעות עד שתיפתר הבעיה
לא הולכים לשבת בעמדות האקרים או ילדים של האקרים
סך הכל עובדים שבאים להשתמש ברשת כדי לבדוק את הציוד שהם עובדים איתו או לגלוש לצרכי עבודה
אז רק מנסים למצא איזון בין זה לבין להפחית כמה שאפשר תקלות מבלי להשתולל עם האבטחה עד אין סוף, כי אין לזה סוף
גם סביר להניח שאחרי שהציוד יוגדר לא יבוצעו קריאות שרות לעדכונים שוטפים אלא רק בהזדמנויות שבהם יוחלף הציוד קבע (שעבורו צריך לאבטח פורט שלא יחובר אליו ציוד אחר) שזה מקרה שאולי יקרה אחת ל 1-2 שנים (למשל שלא ינתקו מדפסת/טלפון ויחברו מחשב...) או כאלו שמתעצלים לברר מה ססמת ה WIFI ופשוט מחברים ראוטר אלחוטי משלהם, או שרואים חוט מנותק בצד אחד ומחברים אותו לנקודת רשת ויוצרים LOOP כי לא בדקו איפה הקצה השני שלו וכו'
התקציב לכל סויטש (24) הינו 3000 שח לערך.
לקחתי את תשומת ליבי לגבי ה DLINK, אך מעדיף לשקול עוד אפשרות דומה.
@sys_admin
·לא בדיוק מסכים איתך
כמו שכתבתי, אני חושב שציוד EOL מתאים במתארים מסוימים. לגבי מפרט לא עדכני וחוסר תאימות (ללא התייחסות לאבטחה בשלב זה) - אילו פונקציות חסרות בסדרת 2960S של סיסקו, לדוגמה, בשימוש משרדי פשוט כמו שצוין (או דומה לו)? בטח לסביבת בדיקות.
לגבי שירות, כמובן שמסכים. ציוד כזה רלוונטי רק במידה וניתן לטפל בתקלות באופן עצמאי. אישית, כשהשתמשתי בסדרה דומה לפרויקט אישי דומה, רכשתי ציוד כפול וקנפגתי את שני המתגים. קרה משהו למתג וצריך פתרון מהיר? עבור למתג השני. המחירים ברצפה.
לגבי אבטחה, כפי שכתבתי, ציוד כזה יתאים אך ורק לסביבת LAN בלבד בה ניתן לסמוך על המשתמשים ברמה גבוהה. בינינו, מרבית הסביבות בכל מקרה לא מבצעות עדכונים לציוד הרשת גם בסביבות אינטרנט מוחלטות (ושיהיה להם בהצלחה).
·לא בדיוק מסכים איתך
כמו שכתבתי, אני חושב שציוד EOL מתאים במתארים מסוימים. לגבי מפרט לא עדכני וחוסר תאימות (ללא התייחסות לאבטחה בשלב זה) - אילו פונקציות חסרות בסדרת 2960S של סיסקו, לדוגמה, בשימוש משרדי פשוט כמו שצוין (או דומה לו)? בטח לסביבת בדיקות.
לגבי שירות, כמובן שמסכים. ציוד כזה רלוונטי רק במידה וניתן לטפל בתקלות באופן עצמאי. אישית, כשהשתמשתי בסדרה דומה לפרויקט אישי דומה, רכשתי ציוד כפול וקנפגתי את שני המתגים. קרה משהו למתג וצריך פתרון מהיר? עבור למתג השני. המחירים ברצפה.
לגבי אבטחה, כפי שכתבתי, ציוד כזה יתאים אך ורק לסביבת LAN בלבד בה ניתן לסמוך על המשתמשים ברמה גבוהה. בינינו, מרבית הסביבות בכל מקרה לא מבצעות עדכונים לציוד הרשת גם בסביבות אינטרנט מוחלטות (ושיהיה להם בהצלחה).
- sys_admin
-
- חבר מביא חבר
- הודעות: 3685
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 718 פעמים
@Scanner
·
בקשר לציוד מהג'נק שבקישור שצירפת. אם לא די בכך שלציודים אלה אין לא שירות ולא אחריות, בכך שכל משתמש שיוריד מאינטרנט קובץ זדוני ויריץ אותו מבלי שהוא מבין למה הוא גורם, יגרום להשבתה של הרשת או להשתלטות עלייה ולהפיכה שלה ל botnet, אז אפילו על התכונות הנדרשות שפורטו על ידי פותח הדיון עין כלל מה לדבר, אלה אפילו ממשקים פיזיים של המתג זה לא כוללים את מה שנדרש בתחילת הדיון, שזה: " הגישור בינהם יהיה בגי'ביק 10G" .
כך שגם ממקרה זה, בדיוק כמו במקרים אחרים אסור בתכלית האיסור להשתמש בציוד שהוא EOL ופי כמה וכמה בציוד שבא מג'נקיידות שונות.
·
בקשר לציוד מהג'נק שבקישור שצירפת. אם לא די בכך שלציודים אלה אין לא שירות ולא אחריות, בכך שכל משתמש שיוריד מאינטרנט קובץ זדוני ויריץ אותו מבלי שהוא מבין למה הוא גורם, יגרום להשבתה של הרשת או להשתלטות עלייה ולהפיכה שלה ל botnet, אז אפילו על התכונות הנדרשות שפורטו על ידי פותח הדיון עין כלל מה לדבר, אלה אפילו ממשקים פיזיים של המתג זה לא כוללים את מה שנדרש בתחילת הדיון, שזה: " הגישור בינהם יהיה בגי'ביק 10G" .
כך שגם ממקרה זה, בדיוק כמו במקרים אחרים אסור בתכלית האיסור להשתמש בציוד שהוא EOL ופי כמה וכמה בציוד שבא מג'נקיידות שונות.