Чем защитить пользователей от сети?

[Michail]

Сеть эзернет. Среднебардачная. Авторизация в интернет PPPoE, выдается белый IP.

Вопрос, что сейчас на рынке является, самым оптимальным бюджетным, аппаратным решением, по защите пользователя/организации?

Ибо достали взломаные чайники, которые ноют, что их де неправильно подключили.

Хочется ввести в прайс что то вроде: "защита подключения - 70$ (аппартный шлюз,фаэрволл)".

Ставить пользователю в квартиру/офис нечто вроде dlink DI-604, и не знать проблем.

Вопрос, что из подобных железок сейчас оптимально?

[jab]

Cisco PIX

[Diesel]

предсказываю что тут же огребете кучу проблем от этих самых пользователей - когда они начнут возмущаться, что у них все порты извне закрыты :-)

Пусть воспринимают интернет таким какой он есть. Никто ж не возмущается что выехав на дорогу имеет все шансы попасть в ДТП?

[puh]

Порты извне можно оставить открытыми, закрыть только классику жанра - 135,137-139,445/tcp

 

а ответ правильный выше. Ставить провайдеру, один на всех.

[Michail]

В ынемножко не поняли, не от интернета защищать, а от "внутрисети". Пользователь вначале оскроет в полный доступ все файлы на диске С: а потом удивляется куда они делись.

Сеть конечно нарезана на сегменты, но дать каждой квартире свой, слишком накладно.

[jab]

Тогда нужен комплект - "cisco PIX + таблетки от жадности"

[puh]

asa 5505 или pix 501 - стоят почти копейки. Железо SOHO класса.

pix 501 стоит 600$, asa 5505 - 850. Это GPL. Организациям по карману. Плюс можно им ещё предложить управлять этой железкой. Ещё небольшой, но ежемесячный доход.

 

а коробочки "нечто вроде dlink DI-604" вы, конечно можете продавать, только первый же купивший их к вам прибежит с криками, что у него emule не качает, а ваша коробочка виснет каждые пол часа.

[Michail]

asa 5505 или pix 501 - стоят почти копейки. Железо SOHO класса.

pix 501 стоит 600$, asa 5505 - 850. Это GPL. Организациям по карману. Плюс можно им ещё предложить управлять этой железкой. Ещё небольшой, но ежемесячный доход.

 

а коробочки "нечто вроде dlink DI-604" вы, конечно можете продавать, только первый же купивший их к вам прибежит с криками, что у него emule не качает, а ваша коробочка виснет каждые пол часа.

Хорошо конечно, только должна быть некая соразмерность. Что то я сомневаюсь, что пользователь оплачивающий 15-20 уе в месяц и за это потребляющий 1-2 гига в месяц интернет трафика, смотрящий внутрисетевые киноресурсы - придет в восторг от идеи заплатить 600уе и спать спокойно.

Можно конечно в соседнюю булочную на камазе за одним батоном ездить, но сотню метров можно и пешком пройти, на крайняк и велосипед сгодится.

С нормальными организациями вопросов не возникает. Самые проблематичные - квартиры с 2-3 компами, и такого же масштаба фирмы. Им очень хочется обмениваться файликами(принтерами) внутри рабочей группы, а как это делать безопасно - они не в курсе. Плюс еще инет внутри группы обожают расшаривать посредством первой попавшейся в инете прграммы прокси-сервера, естественно к там умникам цепляются снаружи.

Хотелось бы бюджетную железку из серии, поставил, отгородил и забыл.

[jab]

А мне хотелось бы пару сот килограмм бюджетной платины 99.9%,

по 20$ за кг.

[Michail]

А мне хотелось бы пару сот килограмм бюджетной платины 99.9%,

по 20$ за кг.

Спасибо за интересное замечание.

Я должен его понимать, что пользователя дешевле 600$ за один абонентский порт защитить не получится?

Или это означает, что гантели из платины позволяют очень быстро и легко накачивать мышцы, супротив чугунных?

[jab]

Я должен его понимать, что пользователя дешевле 600$ за один абонентский порт защитить не получится?

Или это означает, что гантели из платины позволяют очень быстро и легко накачивать мышцы, супротив чугунных?

Получится. Если одним PIX'ом защищать сразу всех. :-) Обойдется в 11$ порт.

[Michail]

Я должен его понимать, что пользователя дешевле 600$ за один абонентский порт защитить не получится?

Или это означает, что гантели из платины позволяют очень быстро и легко накачивать мышцы, супротив чугунных?

Получится. Если одним PIX'ом защищать сразу всех. :-) Обойдется в 11$ порт.

И что, друг от друга пользователей тоже получится защитить, нарезая сеть групками произвольного размера?

[jab]

И что, друг от друга пользователей тоже получится защитить, нарезая сеть групками произвольного размера?

Какого еще произвольного ? Вилан на рыло и всего делов. Изучайте матчасть.

[nnm]

PIX-501 умеет два логических интерфейса, ASA - три поэтому защитить всех на таком ящике удастся только если сначала дать каждому юзеру по VLAN, потом собрать их на каком-то маршрутизаторе и только после этого отдать на PIX. На этом этапе возникнет крамольная мысль - нахрена нужен PIX, если такого-же результата можно добиться access-list на маршрутизаторе, перед ним стоящем... :)

[Michail]

И что, друг от друга пользователей тоже получится защитить, нарезая сеть групками произвольного размера?

Какого еще произвольного ? Вилан на рыло и всего делов. Изучайте матчасть.

Ничего не понимаю!

Я наверное плохо объясняю.

Одного товарища защитить не фокус. Вопрос, как защитить маленькую рабочую группу.

Семью или микроофис.

Дать на каждый комп в квартире по вилану, а потом маршрутизировать в центре кино, которое решила посмотреть жена с компьютера мужа? Или гонять туда-обратно через полрайона, реферат отправленый на печать с компьютра сына школьника? Каждый комп в семье подключать по отдельному договору с отдельной абоненткой?

Я не понимаю что именно вы предлагаете.

Сейчас семей с количеством компов большим одного много.

Как их подключать?

[jab]

Не вижу я проблемы, таблетки от жадности помогут.

[Michail]

Не вижу я проблемы, таблетки от жадности помогут.

Каким образом?

Нахаляву менять абонентам ими же купленые, неуправляемые пятипортовые свичи в квартирах, на циски? Или тащить пользователю от точки присутствия количество веревок равное к оличеству компов в квартире и брать соответствующую абонентку кратную количеству компов в квартире?

[puh]

ну ставьте, ставьте им блинк номер 604. И получайте большое эротическое удовольствие, обслуживая их.

 

вообще проблема семьи или конторки вас не должна волновать. Вы предоставили им порт - всё.

 

Если вы хотите предложить ДОПОЛНИТЕЛЬНУЮ УСЛУГУ, то вам предложили тут пару вариантов, которые обеспечат должный уровень безопасности вашим клиентам и безгеморойную жизнь вам по установке и обслуживанию этого хозяйства. Да, это дорого. Но оно того стоит.

Хотите дешевле - продавайте клиентам то нечто, что можно найти в любом компьютерном магазине за 40-100 баксов под названием "маршрутизатор". Оно тоже стоит ровно своих денег.

[Michail]

ну ставьте, ставьте им блинк номер 604. И получайте большое эротическое удовольствие, обслуживая их.

Хотите дешевле - продавайте клиентам то нечто, что можно найти в любом компьютерном магазине за 40-100 баксов под названием "маршрутизатор". Оно тоже стоит ровно своих денег.

Так собственно с этого тред и начинался. Что можно рекомендовать клиентам, как максимально полезное и безгиморойное в эксплуатации. При этом бюджетное и понимающее PPPoE.

Рекомендовать клиентам, это не значит продавать-ставить-обслуживать.

 

По моим ощущениям ситуация "один договор на больше чем один комп" становится массовой. Как оказалось, сети не готовы к этой ситуации. ADSL подготовился гораздо лучше. Существует огромный ассортимент всевозможных бюджетных железок для подключения микросети масштабов квартиры + беспроводная точка доступа+принтсервер.

Сети отвечают снобистским заявлением: "вообще проблема семьи или конторки вас не должна волновать. Вы предоставили им порт - всё. "

Не самый конкурентоспособный прием.

[MaksMMS]

А может таким группам из 2-3 чел по фаеру на комп, и разрешить в доверенные сети тока их ипшнеги (взаимно чтоб), а остальную сеть они даж не заметят, чем этот вариант плох? Я обычно так делаю, если просят...если не просят, мне все равно что у них там случилось\случится.

[puh]

максимально полезное и безгиморойное в эксплуатации. При этом бюджетное

вы понимаете, что это противоречащие друг другу требования?

 

adsl "маршрутизаторы" за 100$ - это те же яйца, что и ethernet "маршрутизаторы" за 100$, вид сбоку.

[Michail]

максимально полезное и безгиморойное в эксплуатации. При этом бюджетное

вы понимаете, что это противоречащие друг другу требования?

 

adsl "маршрутизаторы" за 100$ - это те же яйца, что и ethernet "маршрутизаторы" за 100$, вид сбоку.

Конечно противоречат. Поэтому надо выбрать оптимальное соотношение этих характеристик.

 

Кстати, не столь ужасны АДСЛ маршрутизаторы. Два года назад включил такой зюхель, убрал в электрощит на лестнице, удаленно настроил... работает. Ни разу не вис, делает все что от него требуется для сетки из 7 машин. Что еще для счастья надо.

Включил-настроил-забыл.

[Oleg_S]

Michail, посмотрите на DrayTek Vigor, серии 2100/2200 ( http://www.draytek.com/product/index/br.php ), например 2200VG ( http://www.draytek.com/product/broadband_r...vigor2200vg.php )

[Michail]

По итогам просмотра форумов и анализа предложений был куплен Dlink DI 804 HV за 1800 рублей

http://www.dlink.ru/products/prodview.php?type=15&id=150

 

Все необходимое это железка делает. Десять дней - полет нормальный. Настраивалась аж минут 15, пока ни разу не висла. Плюс еще встроенная возможность VPN до железки снаружи сети - может когда-нибудь пригодится, ходить ремотадмином.

Скорость маршрутизации устраивает - нагрузка маленькая.

Офис из 3 машинок.

Вот такие пироги с котятами.

[Мартен]

обратите внимание на LinkSys WRT-54-GL. стоит в пределах 100$, есть вай фай, прошивается при необходимости линуксом (openwrt, dd-wrt и т.п.). Возможностей iptables думаю для ваших целей хватит с избытком. Плюс впны разные умеет и много чего еще. Не виснет, в отличие от Dlink 604 (бе...)