- Hamarosan kiderül, hogy a Trump-kormány szétdarabolja-e a Metát
- Nem kaphat a mellette lévő atomerőműből több áramot az Amazon adatközpont
- A Microsoft beszállt a világ legnagyobb karbonmentesítő projektjébe
- Így tréningezi az AI-modelleket az EU-ban a Meta
- 500 milliárd dollárnyi AI-szervert gyárt le az USA-ban az NVIDIA
- Gmail
- One otthoni szolgáltatások (TV, internet, telefon)
- Windows 11
- Synology NAS
- A Microsoft beszállt a világ legnagyobb karbonmentesítő projektjébe
- Linux programok topic - (Milyen program, ami..? Linux verzió)
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- 500 milliárd dollárnyi AI-szervert gyárt le az USA-ban az NVIDIA
- Asustor NAS
- Információbiztonság, kiberbiztonság, adatvédelem
Új hozzászólás Aktív témák
-
F.E.K..
senior tag
válasz
kriszrap
#27475
üzenetére
Ahogy fentebb írták, igen, jó, ha biztonsági mentések lehetőség szerint tényleg biztonságban vannak.
Ha a példában a szerver ment, az azt jelenti, hogy írási joggal eléri a mentést. Ilyenkor mondjuk egy crypto vírus is eléri ugyanígy teljes joggal...
Ha a szerver nem tudja módosítani a mentést, akkor s kártevő se... (Praktikusan nem árt,ha nem "jelszo123" a "védelem"
(Visszafelé is lehet olyat játszani, hogy a nas csak olvasni tud a szerveren, írni nem, így ha ott történt valami, mondjuk egy hibásan paraméterezett backup software, akkor se áll le a szerver)
Természetesen lehet fokozni: fizikai szeparáció (ha leég a szerverszoba, és mellette van a mentést végző nas-od is, akkor volt mentés, nincs mentés, vagy lehet titkosított meghajtó is (ha betörnek és elviszik a cuccot, az adatok nem kerülnek ki), szóval van még lehetőség fokozni a biztonságot.
De először rendes szeparáció legyen, addig ezek eléggé visszafogott haszonnal bírnak. (VLAN!)
Illetve még egy tanács: csinálj majd visszaállítási tesztet. (Minden mentve van-e, vissza lehet-e valóban állítani az adatokat, tudod-e, hogy mi pontosan hová és hogyan kell/lehet visszaállítani, illetve az adatok tényleg mentődek-e, stb.). A nem tesztelt mentés nem létező mentésnek tekinthető nyugodtan...
-
#27476
Gargouille
őstag
kriszrap
#27475
Gargouille
őstag
válasz
kriszrap
#27475
üzenetére
Valószínűleg úgy gondolja, hogy a NAS-on fut a backup szoftver (vagy app vagy aminek akarjuk nevezni) és az készíti a mentést a szerverről, nem pedig úgy, hogy a szerveren fut a backup szoftver, ami a NAS-ra tolja át az adatot.
A logika - gondolom - ebben az, hogy ha kompromittálódik a szerver, akkor az utóbbi esetben a támadó könnyen hozzáfér a NAS-hoz is a szerveren mentett hitelesítőadatok megszerzésével, míg az előző esetben nem.
Ehhez annyit szeretnék csak hozzáfűzni, hogy ha egy alhálózaton van a két eszköz (szerver és NAS) és képesek oda-vissza kommunikálni egymással, akkor igazából nem sokkal vagy előrébb, mert ha bejutnak a szerverre onnan közvetlenül támadható a NAS is, ami valószínűleg csak idő kérdése, hogy elessen.
Ha szeparálod az alhálózatokat (külön VLAN-ok) és két külön alhálózatban van a NAS és a szerver, akkor tudsz ez ellen védekezni, mert akkor például tudsz "egyirányú átjárást" biztosítani a két hálózat között. Például a NAS hálózatából "átlátsz" a szerverébe, de fordítva viszont nem (mondjuk egy Mikrotik routerrel ezt könnyedén meg tudod oldani). Ezzel pedig el tudod érni, hogy a NAS-on futó bakcup szoftver szépen eléri a szervert és le tudja menteni, de ha bejutnak a szerverre visszafelé már nem tudják sehogyan sem elérni a NAS-t, mert abba az irányba nem átjárható a két alhálózat.
Ez persze csak egy lehetőség a sokból.
-
#27473
Gargouille
őstag
kriszrap
#27469
Gargouille
őstag
válasz
kriszrap
#27469
üzenetére
A többiek már leírták jól, én csak két dolgot fűznék hozzá:
1. VLAN. Erre fókuszálj, jól mondta F.E.K. kolléga.
2. A szerverről nem tudunk sokat, de ha esetleg ez egy virtuális gépként fut, akkor a hypervisor-t rakd külön védett VLAN-ba a mentéssel együtt, a virtuális gépet meg a normál hálózatba, hogy elérjék a userek. Így full el tudod szeparálni az infrastruktúrát a produktív környezettől. Ha nem virtualizált, akkor pedig tedd azzá.
3. Veeam Agent-el tudsz menteni gyönyörűen. Alapból ha csak ezt a szervert akarod menteni, akkor ingyenes. Ha virtuális környezet van, akkor pedig a Veeam Backup & Replication Community Edition -al profi módon akár több virtuális gépet, fizikai gépet vagy bármit is. Szintén ingyenes, annyi limittel, hogy 10 gépet fogsz tudni csak vele menteni, de ez több mint elég.
-
#27472
MasterDeeJay
veterán
kriszrap
#27469
válasz
kriszrap
#27469
üzenetére
Én az alábbi módon oldottam meg a mentést:
Külön erre van egy 10 éves szerver több lannal megy a hálóra (4+2Tb hdd vel). Csináltam rajta megosztásokat pcbackup és srvbackup néven amelyekek az userek nem érnek el de a gépeken futó backup program (veeam agent) igen.
Azt nem tudom mennyire biztonságos így azaz pl egy vírus mennyire fér hozzá user szinten a veeam hálózati hozzáféréséhez. (elvileg csak local system fér hozzá, azaz elméletben sérülékenység esetén lehetne hozzáférni)
Szervereken is veeam agent fut és azok az srvbackup megosztása mentenek szintén olyan módon hogy maga a szerver adminja sem éri el azt a megosztást csak a veeam. (értelem szerűen több lanon és külön hdd-kre megy a mentés így egy időben.
A backup szerveren bekapcsoltam a deduplikációt. Annyi minimális igénye azért van hardverből hogy ramot pakoltam bele a dedup miatt (10gb ram, valami lga1156 4 magos xeon) és kézzel beállítottam hogy a dedupot hétvégén rakja rendbe. Elvileg ennél erősebb hardver kell neki de a backupsrv-nek más dolga nincs így izzadjon.
Külön a szevereken lóg még egy külső olcsó vincsi amelyre a szerver is csinál mentés a beépített windows server backuppal (amit nézni kell rendszeresen mert amúgy néha behülyül)
Mentési rend az úgy néz ki hogy éjszaka vannak elosztva órákra a gépek hogy melyik mikor mentsen de vannak átfedések. Néha szólok az usereknek hogy hagyják bekapcsolva a gépeiket aztán lemegy a mentés. Nekem elég megnéznem a mentéseknél a mappák utolsó módosítás dátumát, meg néha az userek gépén nincs-e felkiáltójel a veeamon (bár emailt is tudna küldeni a valami nem jó.Hozzáteszem user gépek mentése nálam csak a totál halál esetén fontos, azaz ha elpatkol a windows egy update után vagy teljesen megdöglik a gép. Fontos adatok szerveren vannak. User gépeken lévő dolgok több helyen is megvannak. Levelezés sincs helyben.
Még majd meg akarom csinálni hogy legyen cluster hyperv-hez de nincs tartományom anélkül meg cseszik működni. (több leírást is próbáltam)
Nas elérés kikapcsolásra:
A hálózatát lekapcsolgathatod, kissé faék módszer külön switch a nas és szerver közé amelyet időzítőkapcsolóval kapcsolgatsz, vagy esetleg valami okos switch/router amiben van időzítő.
Mentéseknél amúgy is ajánlott a több lan ha egyidőben több helyről megy mentés, illetve több hdd. Pcie lan kártya filléres, mentésre meg a legalja hdd is jó. (pontosabban NE legyen SMR-es, de lehet sima desktop is) -
F.E.K..
senior tag
válasz
kriszrap
#27469
üzenetére
Két apró megjegyzés/tanács:
1. Ne külön ip címekkel "szeparálj", mert az semmit se ér. Amit keresel, az a VLAN (ha már van mikrotik, és // "rászeretnék "feküdni" a hálózat biztonságra." // ).
2. Mentésnél lehetőleg ne a szerver mentsen, hanem a NAS nyúljon be a mentendő adatokért. A szervernek NE legyen joga a NAS-ra írni.
Így, legalábbis felvétve, hogy több verziót is eltárolsz a mentett adatokból - ugye igen? -, ha a szerver adatai sérülnek, korrumpálódnak, a NAS-on az előző verziókat az nem érinti - Onsite vs Offsite backup - )3. Ha midnenképpen a statikus címeket szeretnd blokkolni, akkor "Enable add arp for leases" kifejezésre keress rá. Bár VLAN szeparációval jobban jársZ (illetve port secure is bekapcsolható, ha nem váltakoznak túl sokat a kliensek)
-
SirRasor
addikt
válasz
kriszrap
#27298
üzenetére
Van, működik a dolog.
10+ éve kellett írnom egy kis progit, amit max 4 ember használt egyszerre és arra pont jó volt egy SMB megosztáson létrehozott Access file, amihez Delphiben írtam egy kis progit.
Egy adattáblát töltöttek ki. 5 másodpercenként befrissítette a progi az adatokat.
1+ évig ment hiba nélkül. Utána jött a fekete leves: elkezdték többen használni. 7+ felhasználónál véletlenszerű adathibák léptek fel...Utána fogtam az egészet és PHP+mysql alapokra helyeztem.
-
#27299
Gargouille
őstag
kriszrap
#27298
Gargouille
őstag
válasz
kriszrap
#27298
üzenetére
Szerintem erre gondolsz.
-
-
#26039
Gargouille
őstag
kriszrap
#26037
Gargouille
őstag
válasz
kriszrap
#26037
üzenetére
Jól beszél az előttem szóló, 2db Hyper-V szerver (akár core), egy VM-re mindent ráraksz és cluster-t csinálsz, aztán akkor a két szerver között kedvedre rakosgathatod a VM-et leállás nélkül. Egyszerűbb verzióban meg ugyanez, de cluster nélkül, csak replika van a két Hyper-V közt. Minimális leállással úgy is pakolászhatod a VM-et.
-
kraftxld
Topikgazda
válasz
kriszrap
#26037
üzenetére
A fiatal szovjet mérnökök erre a problémára találták fel a DFS-t és a DFS replikációt
És egy jótanács, egy suliban nem kell ennyire tolni a HA-t
könnyen, hamar drága limitekbe ütközhetsz.
Virtualizálva, HA-val vagy VM replikációval, gyorsabban, egyszerűbben tudsz jobb eredményeket elérni. -
VeryByte
őstag
válasz
kriszrap
#26027
üzenetére
ssh-z be az AP-kra és set inform a barátod.
Mondjuk én a két helyet két külön site-nak csinálnám meg, jobb a kezelhetőség - számomra.
Ha már valahová felkerült az AP, akkor a site-ok között simán mozgathatod.Ha fix IP, akkor a DHCP 43-at felejtsd el.
A DHCP 43 egyébként arra jó, hogy a DHCP kiszolgálón mondod meg, hogy ki a csoda a controller, így az AP oda fog szépen csatlakozni. Gyakorlatilag a set inform automatizált változata.
Pl. ennek definiálására az Edgerouter DHCP részben külön lehetőség van. -
#25960
Gargouille
őstag
kriszrap
#25959
Gargouille
őstag
válasz
kriszrap
#25959
üzenetére
Mármint a tiltását tiltani, vagyis engedélyezni?
Amúgy Mikrotik fórumon érdemes megnézni, van róla szó. De sokféle módja lehet amúgy, mondjuk layer7-en csinálsz rá regexpet vagy a DNS kéréseket átirányítod a saját DNS szerveredre, ahol meg már úgy oldod fel a domain neveket, ahogy akarod stb. Sok megközelítés van, attól függően mit szeretnél elérni pontosan.
-
bolvar
senior tag
válasz
kriszrap
#25588
üzenetére
Szintén zenész nálam is fix ip üzemel(t) kb 40-50 site, vegyesen mindenféle router switch kombóval, sose tapasztaltam ilyen hibát.
Mikrotiken vagy 5 éve nem üzemeltettem unifit de akkor kellett a dhcp optionsbe 43-as id-val a hex értéke a controllernek, gondolom ez megvan mert anélkül nekem nem is nagyon ment emlékeim szerint. -
válasz
kriszrap
#25586
üzenetére
Anélkül, hogy flame-et keltenék: dobd át a Mikrotikről más valamire próbaképp a DHCP-t, ha lehet, és menni fog. Egyébként én mindig fix IP-t adok nekik, soha nincs ilyesmi, amiről írsz, Unifi switchről natívan, illetve tápfeladóval HP switchről is rendben mennek évek óta.
Amikor nem megy, nézd meg, hogy Unifi Discovery tool látja-e őket MAC alapján (l2 kereshetőség legyen engedélyezve előtte a kontrollerben), ha így megvannak, csak IP-jük nincs, akkor nem fizikai a baj.
-
#25589
Gargouille
őstag
kriszrap
#25586
Gargouille
őstag
válasz
kriszrap
#25586
üzenetére
A kérdés, hogy ilyenkor mind a 4 AP egyszerre tűnik el, vagy sem? Ha egyszerre, akkor nem az AP-kkal van probléma hanem például a switch-el, amibe csatlakoznak, vagy tápellátás. Ha külön-külön csinálják random, akkor meg valamilyen konfigurációs probléma lehet inkább.
Ami fontos ilyenkor, hogy próbálj valami összefüggést találni, főleg az időszerűségében vagy abban, hogy tudd valamihez kötni az eseményt (például mindig akkor veszíti el az IP-t amikor épp X vagy Y dolog történik a környezetében, vagy a vezérlőt futtató gépen vagy ilyesmi.)
-
#25433
Gargouille
őstag
kriszrap
#25432
Gargouille
őstag
válasz
kriszrap
#25432
üzenetére
A gépházban a Windows update-eknél be lehet állítani az Aktív időszak-ot, amiben megadhatod, hogy mikor ne keressen frissítést. Ez pontosan erre van, amit szeretnél.
De amúgy elég jól tervezhető dolog ez, mivel minden hónap második keddjén adja ki a Microsoft a frissítéseket. Tehát ha mondjuk kedd éjjelre vagy szerdára rakod a script futtatását (feltételezve, hogy nem akarsz előtesztelni pilot gépen például), akkor egy hónapig baromira nem fog egyéb frissítés kijönni (max nagyon ritkán soron kívül), úgyhogy keresgethet nyugodtan bármikor a gép update-et.
-
#25429
Gargouille
őstag
kriszrap
#25428
Gargouille
őstag
válasz
kriszrap
#25428
üzenetére
Az ilyesmire a legegyszerűbb egy powershell script-et írnod, amit ütemezetten tudsz futtatni amikor csak neked tetszik.
Példa a script-re:
#Define update criteria.$Criteria = "IsInstalled=0 and Type='Software'"#Search for relevant updates.$Searcher = New-Object -ComObject Microsoft.Update.Searcher$SearchResult = $Searcher.Search($Criteria).Updates#Number of updates and check reboot$NumberOfUpdates = $SearchResult | Where-Object {($_.Type -eq "1")} | Measure-Object -Line | Select-Object -expand Lines#Check rebootIf ($SearchResult.rebootRequired) {$Reboot = "Reboot required!" } else {$Reboot = "No reboot required"}#If updates found then install themIf ($NumberOfUpdates -gt 0) {Write-Host $NumberOfUpdates "New updates found"Write-Host $Reboot$SearchResult | Where Type -eq "1" | Select TitleWrite-Host "Installing updates..." `r`n#Download updates.$Session = New-Object -ComObject Microsoft.Update.Session$Downloader = $Session.CreateUpdateDownloader()$Downloader.Updates = $SearchResult$Downloader.Download()#Install updates.$Installer = New-Object -ComObject Microsoft.Update.Installer$Installer.Updates = $SearchResult$Result = $Installer.Install()Write-Host "Update complete"#Reboot if required by updates.If ($Result.rebootRequired) {Write-Host "Rebooting..."shutdown.exe /t 10 /r}} else {Write-Host "No new updates"}Ezt fogod, elmented ps1 kiterjesztéssel és kipróbálod egy gépen, aztán testre tudod szabni magadnak, ahogyan szeretnéd (mondjuk rakhatsz bele naplózást stb.)
A beépített Windows PowerShell ISE editorba ha betöltöd, ott remekül tudod tesztelgetni és szerkeszteni.
Sőt, ha egészen perverz vagy, akkor a PS scriptet még exe-re is le tudod fordítani például a PS2EXE-vel, így egyszerűbbé teheted a futtatását is, meg a user sem fog tudni mondjuk belepiszkálni.
-
kriszrap
tag
válasz
kriszrap
#25358
üzenetére
Tartományi server csak ennyit csinál:
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::RegisterForNotification: Entering with target User and event 0xe4c
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::RegisterForNotification: Exiting with status = 0
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::UnregisterNotification: Entering with event 0xe4c
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::UnregisterNotification: Exiting with dwStatus = 0x0
GPSVC(2250.1a70) 13:00:40:904 RefreshPolicyForPrincipal: Entering with bMachine = 1, SID = null, options: 1, dwTimeout = 600000, currentProcessId = 8784, processImageName = C:\Windows\System32\gpupdate.exe
Ahogy nézem csak szervernél csinálja .Van egy tartomány Fő vezérlőm 2012 alapon és van még egy 2016 de az csak tartomány vezérlő. Nem tudom a különbség bezavarhat e .
-
#25305
Gargouille
őstag
kriszrap
#25303
Gargouille
őstag
válasz
kriszrap
#25303
üzenetére
Csatlakozva az előttem szólóhoz, rakj elé egy Mikrotik-et és azon NAT-old be az L2TP-t (vagy RADIUS-al maga a Mikrotik is tud autentikálni a DC-ről és akkor eleve lehet az a VPN szervered). Ne akarj Windows szervert így kirakni a netre, még ha szeretsz veszélyesen élni akkor sem jó ötlet.
A konkrét kérdésre válaszolva pedig Windows tűzfalszabályt nem tudsz így konkrétan adapterhez kötni szerintem, de a szabály létrehozásakor a "hatókör"-ön belül van egy lehetőség, hogy melyik adaptertípushoz (wifi, helyi stb.) akarod kötni, de ez nem igazán az amit te szeretnél.
-
#25287
Gargouille
őstag
kriszrap
#25286
Gargouille
őstag
válasz
kriszrap
#25286
üzenetére
Talán ez megoldás:
Virtual machine is unresponsive while applying audit policy configuration policy
Illetve bővebben:
Troubleshoot Slow GPO Processing and Login Speed Impact
hátha...
-
#25244
Gargouille
őstag
kriszrap
#25243
Gargouille
őstag
válasz
kriszrap
#25243
üzenetére
Ha gyorsítani akarod a folyamatot, akkor nem kell végigvárnod háromszor a teljes boot folyamatot, ha megjelenik a betöltő képernyő, ahol fekete alapon "karikázik" már a Windows, akkor nyomsz egy vastagot neki és ezt megismétled még kétszer, utána jön is egyből a recovery mode.
-
#25242
Gargouille
őstag
kriszrap
#25241
-
#25203
Gargouille
őstag
kriszrap
#25202
-
#25173
Gargouille
őstag
kriszrap
#25172
Gargouille
őstag
válasz
kriszrap
#25172
üzenetére
Valószínűleg arra gondolt, hogy attól, hogy ha így összefogsz két adaptert, attól még nem "adódik össze" a sebességük, tehát például nem fogsz tudni mondjuk egy adott gépről 2Gbps-el másolni a szerverre*, hanem csak úgy fogod tudni kiaknázni a sávszélesség bővülést, ha több klienssel támadod a szervert. Vagyis (leegyszerűsített példa), ha mondjuk 2 klienssel másolsz egyszerre a szerverre, akkor mindkettő 1Gbps-el fog tudni adatot továbbítani. Most persze nagyon lesarkítva írtam.
* Ez nem teljesen igaz, mert SMB multichannel -el az SMB műveleteknél elérheted 1 klienssel is a 2Gbps sávszélességet.
-
#25073
Gargouille
őstag
kriszrap
#25071
Gargouille
őstag
válasz
kriszrap
#25071
üzenetére
Már sokszor csináltam in-place upgrade-et, működik. Igaz, nem olyan tiszta munka mintha nulláról újrahúzod, de van amikor az túl nagy meló vagy nem lehetséges.
Épp a napokban fogok egy 2012 Foundation-t feltolni 2016 Datacenterre (tudom unsupported) ugyanígy, sajnos tiszta telepítést nem lehet műszaki kényszerek miatt. Virtuális környezetben leteszteltem, működik.
-
-
radi8tor
MODERÁTOR
-
#24668
E.Kaufmann
veterán
kriszrap
#24666
E.Kaufmann
veterán
válasz
kriszrap
#24666
üzenetére
Lehet. Csomó program tud pillanatképet készíteni és azt az állapotot menteni. Ha csak lemezkép kell akkor ezt használtam pár éve: https://docs.microsoft.com/en-us/sysinternals/downloads/disk2vhd
De ha profi megoldás kell, ami sokféle futó alkalmazást ismer (hogy ne legyen se sebességprobléma se inkonzisztens állományok), és távolról is kell menteni, akkor veeam. -
-
kraftxld
Topikgazda
válasz
kriszrap
#23953
üzenetére
Szerintem először nézz meg pár alap hálózatos videót, főleg a subnetekről, DHCP-ről, stb.
Nem bántásként, de amiket it kérdezel az alapján elég hiányosak az ismeretek és olyan dolgokat csinálsz amivel elég csúnyán szét tudod b*szni az egész hálót.Eddig se volt egyszerű amit szögeltél, de ez a dupla DHCP-s, 2 átjárós cseszett nagy subnet elég meredek
-
#23940
szallasi007
őstag
kriszrap
#23938
-
gaborbol
őstag
válasz
kriszrap
#23918
üzenetére
Ha a szervernev ugyan az lenne akkor talan, vagy ha DFS share volt akkor azzal egyszerubb az elet.
Ilyen esetben en robocopy -val szoktam attolni az adatokat a differental opcioval az uj szerverre. Ejjel meg egyszer futtatom, aztan kikapcsolom a share-t a regi szerveren. Kirakom a share-t az atmasolt mappakon, ha a /MIR /Sec opciot hasznaltal akkor minden jog es beallitas atjon a masolassal. Csak a gpo-t atirom az uj szervernevre es kesz. -
-
F.E.K..
senior tag
válasz
kriszrap
#23830
üzenetére
A wifi radius-al való "használatához" nem kell a kliensnek (notebook, mobiltelefon, stb.) tartományi tagnak lennie.
Ha van AD kiszolgáló akkor azon neked egy NAP (Network Access Protection (NAP) policy) server kell, bár windows-ban kevésbé vagyok otthon (én ldap-ot használok freeradius-al), de erre indulnék el: [link]
(Vagy felraknák egy külön radius szervert és az használná az AD címtárát akár)
Természetesen 802.1x képes AP-k (és kliensek, de az nem igen lehet gond hacsak nagyon régi eszköz nem kerül esetleg elő) és érvényes tanúsítvány szükséges a dologhoz (self signed esetén jó eséllyel importálni kell a kliensre hogy elfogadja).
(Windows szakemberek remélhetőleg majd kijavítanak ha esetleg ez félrevinne).
"Na most az a másik kérdésem ha a diák számítógép nevet lemásolja a sajátjára akkor is radiustól kap engedélyt ha gép hitelesítés van beállítva vagy ilyenkor a radius gépnévnél mit ellenőriz?"
A MAC ez esetben nem "játszik".
Egyszerűsítve:
A címtárban szereplő felhasználó név/jelszó páros alapján hitelesít, azaz ha a forrás egy AD, akkor az ott lévő felhasználói név és jelszó páros szolgál hitelesítésre (minden felhasználó a saját adataival jelentkezik be megosztott kulcs helyett.).Példa:
WPA2 wifi esetén a kliens (legyen mondjuk egy mobiltelefon) az előre legenerált kulcs megadásával csatlakozik a wifi hálózathoz.EAP esetén a felhasználói azonosító megadása után (ez is elmenthető ugyanúgy mint a psk) az ap elküldi a megadott adatokat a radius kiszolgálónak, és az ellenőrzi vissza hogy helyes-e. Ha igen, az AP az alapján engedi fel a hálózatra.
Ha valaki megtudja a másik felhasználó név és jelszó párosát akkor annak a nevében tud netezni (meg minden mást is végrehajtani természetesen, ez egy OTP One Time Passwords megoldás).
Ha a diákoknak is van AD azonosítója akkor "saját jogán" netezhetnek ők is, akár külön rájuk vonatkozó korlátozásokkal (pl. a diák nem éri el a belső halózatot csak netezni tud, esetleg azt is csak meghatározott idődzakokban, stb.)
-
F.E.K..
senior tag
válasz
kriszrap
#23825
üzenetére
A hálózati belépést 802.1x esetén lehet figyelni gond nélkül, de akkor természetesen központi auth kell, AD/LDAP ahogy jólesik, és ahhoz rakni egy radius-t, hozzá egy WLC a wifihez és kész is. (Klienseket persze egyszer fel kell konfigurálni nyilván).
A vendégek meg kapnak egy captive portal-t és gond letudva.
Esetleg port security, és a nem ismert eszközök vendég vlan-ba érkeznek (itt is radius-t javasolt használni, mac túl könnyen lehet bármikor módosítani).
Forgalom monitorozáshoz rakj fel valami transzparens proxy-t, akkor látható hogy ki merre forgalmazott és szűrni is lehet (pl. vírusvédelem, ismerten veszélyes weboldalak, stb.)
-
radi8tor
MODERÁTOR
válasz
kriszrap
#23825
üzenetére
Felhasználó hol lépett be és ki: nem lehet
Hálózaton elérhető eszközöket ki tudják olvasni a network scannerek, de azok futása jó pár perc.
De arról nem fogsz infót kapni ki mit csinál, meddig használja a hálózatot stb.
Az Inetrnet használatot a hálózaton levő proxy server tudja kezelni/monitorozni. -
könnyen, hamar drága limitekbe ütközhetsz.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
kraftxld
- Lenovo ThinkBook 14 G2 - 14"FHD IPS - i5-1135G7 - 12GB - 256GB SSD - Win11
- ÁRGARANCIA! Épített KomPhone Ryzen 7 9800X3D 32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- HP szerverek áron alul
- AKCIÓ! ASUS TUF GAMING X670E-PLUS WiFi alaplap garanciával hibátlan működéssel
- Csere-Beszámítás! Számítógép játékra! R5 3600 / RX 570 8GB / 16GB DDR4 / 500GB SSD + 1TB HDD
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopszaki Kft.
Város: Budapest