linux user group brescia

Mi interessa anche questo aspetto...  Conosci della documentazione pratica
da indicarmi?
Jamil

Il giorno gio 5 feb 2015 22:07 Francesco Rmp <atomikramp a gmail.com> ha
scritto:

> Ciao, solo in ambiente di test.
>
> Comunque l'802.1x per l'accountability layer2, oltre che farlo per mac
> address puoi anche farlo per utente, è fighissimo, plugghi il cavo di rete
> e ti chiede id e password.
> in base all'autenticazione il server ti rilascia IP ed eventuali settaggi
> vari per la rete.
>
> 2015-02-05 19:19 GMT+01:00 Jamil <jamil.jamil a gmail.com>:
>
>> Io intendevo anche un documento scarno ma con consigli preziosi da
>> approfondire man mano che si costruisce l'architettura..
>>
>> Conosco sia vlan sia gli switch hp managed...
>> Mi incuriosisce invece, avendo già il ferro a disposizione,  come
>> implementare radius con accountability  dei PC (immagino a livello mac
>> address) e profilazione degli utenti con regole dinamiche
>>
>> Hai già avuto modo di affrontare configurazioni simili?
>> Jamil
>> Il 05/feb/2015 18:55 "Francesco Rmp" <atomikramp a gmail.com> ha scritto:
>>
>>> Ciao Jamil,
>>> c'è molta roba ma tutta sparsa.
>>> Principalmente perchè richiede l'interazione di tanti apparati diversi.
>>>
>>> Io partirei dallo studiare come funziona un server RADIUS, cosa fa, e
>>> come e a cosa serve.
>>> poi una volta che hai capito quello, devi vedere con che cosa andrai ad
>>> utilizzarlo e per quali scopi, e ti servirà verificare la documentazione
>>> degli apparati specifici che andrai ad utilizzare (es, come configurare uno
>>> switch cisco piuttosto che HP, lì è roba vendor specific).
>>>
>>> Poi puoi iniziare ad aggiungere pezzi all'architettura, come sistemi
>>> proattivi per il controllo degli accessi alla rete... a me piace molto (per
>>> esempio) packetfence.
>>>
>>> 2015-02-05 18:39 GMT+01:00 Jamil <jamil.jamil a gmail.com>:
>>>
>>>> Molto interessante la soluzione 4 proposto da @Francesco ; puoi
>>>> consigliare un documento/sito che spieghi come poter iniziare a
>>>> implementare una tale soluzione.?
>>>> Grazie
>>>> Jamil
>>>>  Il 05/02/2015 10:10, Francesco Rmp ha scritto:
>>>>
>>>> Ciao
>>>> si prospettano diversi scenari in questo caso secondo me e tutto
>>>> dipende poi dai requisiti funzionali.
>>>>
>>>>  scenario 1
>>>> tutto è come prima, non ha importanza con che router esce chi,
>>>> l'importante è che ci sia più banda
>>>> è la cosa più semplice da fare, basta mettere a monte un access gateway
>>>> che possa fare load balancing tra le due WAN (pfsense, endian, vattelapesca)
>>>> è molto semplice da implementare, non cambi nulla nella tua
>>>> infrastruttura di rete interna... e tutto va SUBITO
>>>>
>>>>  soluzione 2
>>>> le due reti sono separate a livello logico ma l'isolamento non è
>>>> critico, l'unica cosa che conta è che ogni scuola esca col proprio access
>>>> gateway (router adsl)
>>>> anche qui è abbastanza semplice da fare, ma le due reti si possono
>>>> comunque parlare tra di loro.
>>>> crei due classi di indirizzamento per i PC di una e dell'altra scuola,
>>>> e poi utilizzi sul firewall delle routing policies che instradano il
>>>> traffico verso uno o l'altro gateway a seconda dell'IP sorgente
>>>> c'è un contro madornale: la configurazione degli spazi di
>>>> indirizzamento è un delirio perché se vuoi usare il DHCP devi configurare i
>>>> leasing a mano.. e non ti passa più
>>>> io questa la scarterei, è semplice all'inizio, ma poi diventa un
>>>> delirio col passare del tempo
>>>>
>>>>  soluzione 3:
>>>> compartimenti le due reti separandole a livello 2 con VLAN (se gli
>>>> switch permettono) o semplicemente usando apparati diversi.
>>>> viene una cosa molto pulita,
>>>> hai due reti separate a tutti gli effetti
>>>> hai pieno controllo su cosa eventualmente può passare e cosa no tra una
>>>> rete e l'altra
>>>> puoi anche decidere di tenere un unico domain controller che può stare
>>>> da solo su una terza rete (DMZ) accessibile da entrambe le LAN per la parte
>>>> di accountability.
>>>> anche qui, spazi di indirizzamento IP diversi = routing policies
>>>> configurabili e ogni rete può uscire sul proprio gateway.
>>>> Unica cosa da stimare a priori in questo caso è quanti dati devono
>>>> poter passare tra una rete e l'altra.
>>>> Tutto il routing viene a questo punto gestito dal firewall (pfsense,
>>>> endian, whatever) e se il traffico è tanto, ci vuole un firewall che sia in
>>>> grado di gestire grossi volumi di throughput..
>>>>
>>>>  soluzione 4:
>>>> AKA la rete superlusso
>>>> accountability dei computer a layer 2 con 802.1x e server radius per le
>>>> policy.
>>>> aumenta la complessità di gestione ma hai tutti i vantaggi della rete
>>>> 3, più la flessibilità di ppoter ribaltare tutto il layout della rete in
>>>> pochissimo tempo.
>>>> hai un server RADIUS dove gestisci gli spazi di indirizzamento e le
>>>> VLAN a cui appartengono i singoli computer sulla base di mac address, puoi
>>>> spostare i computer da una rete all'altra cambiado una configurazione,
>>>> senza dover andare a smanettare sul singolo PC, o su altri mille apparati,
>>>> e cosa più importante (in tutte le reti pubbliche imho), puoi adottare
>>>> regole di whitelisting per cui eventuali apparati estranei non possono
>>>> collegatsi (vedi il furbo che collega il suo portatile alla prima presa di
>>>> rete che trova a muro).
>>>> Secondo me questa soluzione per una scuola è un overkill, è molto figa
>>>> sì, ma ci vogliono apparati che supportino i protocolli layer2, e una buona
>>>> predisposizione del sistemista ad un livello di sofferenza notevole nella
>>>> configurazione e nel testing iniziale.
>>>>
>>>>  se vuoi un consiglio...
>>>> soluzione 3 :)
>>>>
>>>>  Francesco
>>>>
>>>> 2015-02-05 9:31 GMT+01:00 Riccardo Bicelli <r.bicelli a gmail.com>:
>>>>
>>>>>
>>>>> Il 04/02/2015 17:41, antonello facchetti ha scritto:
>>>>>
>>>>>> Il 04/02/2015 15:56, Vincenzo Oliviero ha scritto:
>>>>>>
>>>>>>> Endian e Zentyal fanno la stessa cosa di pfsense. Mi è poco chiara
>>>>>>> la questione domini....
>>>>>>> V.
>>>>>>>
>>>>>>>  La mia idea sarebbe di mantenere tutto nello stesso dominio
>>>>>> (gestito da un server windows AD): trattandosi di rete didattica con
>>>>>> laboratorio condiviso non ha senso differenziare, anzi causerebbe
>>>>>> confusione.
>>>>>>
>>>>>  Puoi avere un dominio e diverse VLAN/subnet, tant'è che i server di
>>>>> solito li metto in una LAN e i PC in un'altra...
>>>>>
>>>>>> Avendo comunque due accessi adsl potrei pensare di connetterli
>>>>>> entrambi via il proxy endian che sto mettendo in piedi.
>>>>>> Il problema è come...
>>>>>> potrei definire due gruppi di clients e indirizzarli uno a un ruter
>>>>>> uno all'altro...
>>>>>> oppure definire una policy di load-balancing tra i due router...
>>>>>> dove posso trovare info in proposito?
>>>>>>
>>>>>>
>>>>> http://help.endian.com/entries/20061101-How-to-Add-a-Failover-Internet-Uplink
>>>>>
>>>>>> Antonello
>>>>>>
>>>>>>
>>>>> --
>>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>>
>>>>
>>>>
>>>>
>>>>  bella la 3...
>>>> ma visto il tempo e le mie competenze mi sa ch opterò per la 1...
>>>>
>>>> grazie a tutti
>>>> Antonello
>>>>
>>>> --
>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>
>>>> --
>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>
>>>
>>>
>>> --
>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>
>>
>> --
>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20150205/325011ba/attachment-0001.html>