URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87336
[ Назад ]

Исходное сообщение
"OpenVPN - как защитить внутреннюю сеть?"
Отправлено o1gerd , 18-Ноя-09 17:17

Уважаемые коллеги! Подскажите решение вот такой задачи. Поиск юзал, но т.к. внятно не получается односложно описать то, что нужно, ничего не нашел. Итак, есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например. Этот комп, соответственно, получает через vpn выход в инет. При этом с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и заходить на любые машины в своей сети. Вопрос вот в чем... Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной сети?

Содержание

OpenVPN - как защитить внутреннюю сеть?,ALex_hha, 17:23 , 18-Ноя-09
- OpenVPN - как защитить внутреннюю сеть?,o1gerd, 17:38 , 18-Ноя-09
  - OpenVPN - как защитить внутреннюю сеть?,reader, 17:53 , 18-Ноя-09
    - OpenVPN - как защитить внутреннюю сеть?,shadow_alone, 21:25 , 18-Ноя-09
      - OpenVPN - как защитить внутреннюю сеть?,reader, 14:24 , 19-Ноя-09
OpenVPN - как защитить внутреннюю сеть?,PavelR, 18:01 , 18-Ноя-09
- OpenVPN - как защитить внутреннюю сеть?,reader, 18:07 , 18-Ноя-09
  - OpenVPN - как защитить внутреннюю сеть?,o1gerd, 07:43 , 19-Ноя-09
    - OpenVPN - как защитить внутреннюю сеть?,PavelR, 08:13 , 19-Ноя-09
      - OpenVPN - как защитить внутреннюю сеть?,o1gerd, 08:35 , 19-Ноя-09
        
        OpenVPN - как защитить внутреннюю сеть?,DogEater, 09:28 , 19-Ноя-09
        
        OpenVPN - как защитить внутреннюю сеть?,o1gerd, 10:06 , 19-Ноя-09
        
        OpenVPN - как защитить внутреннюю сеть?,qwertykma, 16:14 , 19-Ноя-09

Сообщения в этом обсуждении

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено ALex_hha , 18-Ноя-09 17:23

А сам vpn сервер тоже в подсети 10.10.10.0/24?

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено o1gerd , 18-Ноя-09 17:38

>А сам vpn сервер тоже в подсети 10.10.10.0/24?
нет. 10.10.10.0/24 - это одна из сетей подразделения. сервер в магистральной сети: 172.16....

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено reader , 18-Ноя-09 17:53

попробовать менять таблицу маршрутизации при поднятии vpn?

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено shadow_alone , 18-Ноя-09 21:25

>попробовать менять таблицу маршрутизации при поднятии vpn?
:)
каким образом Вы предлагаете это сделать?
всю сеть в blackhole? ну тогда он и шлюза не увидит чтоб попасть на vpn....

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено reader , 19-Ноя-09 14:24

>>попробовать менять таблицу маршрутизации при поднятии vpn?
>
>:)
>каким образом Вы предлагаете это сделать?
>всю сеть в blackhole? ну тогда он и шлюза не увидит чтоб
>попасть на vpn....
при поднятии vpn убирать локалку за шлюз :)
[root@localhost sysconfig]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.0.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         10.10.0.254     0.0.0.0         UG    0      0        0 eth0
[root@localhost sysconfig]# tracepath -n 10.10.0.1
1:  10.10.0.17        0.186ms pmtu 1500
1:  10.10.0.1         1.035ms reached
1:  10.10.0.1         0.494ms reached
     Resume: pmtu 1500 hops 1 back 64
[root@localhost sysconfig]# route del -net 10.10.0.0/24
[root@localhost sysconfig]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.10.0.254     0.0.0.0         UG    0      0        0 eth0
[root@localhost sysconfig]# tracepath -n 10.10.0.1
1:  10.10.0.17        0.189ms pmtu 1500
1:  10.10.0.254       1.042ms
1:  10.10.0.254       0.504ms
2:  10.10.0.1         1.031ms reached
     Resume: pmtu 1500 hops 2 back 64
[root@localhost sysconfig]#

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено PavelR , 18-Ноя-09 18:01

>Уважаемые коллеги! Подскажите решение вот такой задачи. Поиск юзал, но т.к. внятно
>не получается односложно описать то, что нужно, ничего не нашел. Итак,
>есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов
>установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например.
>Этот комп, соответственно, получает через vpn выход в инет. При этом
>с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и
>заходить на любые машины в своей сети. Вопрос вот в чем...
>Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной
>сети?
внимание вопрос: нафига это делать, если можно погасить клиент и ходить по "родной локалке"?

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено reader , 18-Ноя-09 18:07

>[оверквотинг удален]
>>есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов
>>установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например.
>>Этот комп, соответственно, получает через vpn выход в инет. При этом
>>с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и
>>заходить на любые машины в своей сети. Вопрос вот в чем...
>>Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной
>>сети?
>
>внимание вопрос: нафига это делать, если можно погасить клиент и ходить по
>"родной локалке"?
наверно как всегда, что бы те кому не положен инет не ходили через тех кому можно :)

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено o1gerd , 19-Ноя-09 07:43

>>внимание вопрос: нафига это делать, если можно погасить клиент и ходить по
>>"родной локалке"?
>
>наверно как всегда, что бы те кому не положен инет не ходили
>через тех кому можно :)
исключительно в целях безопасности. клиенты - бухгалтерия ведомственной сети. Инет нужен когда отправляются данные в мин.фин. Соответственно, при определенном "везении" можно подхватить что-нибудь и нехороший индивидуум получит доступ к зараженной машине, а через нее во внутреннюю сеть.

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено PavelR , 19-Ноя-09 08:13

>[оверквотинг удален]
>>>внимание вопрос: нафига это делать, если можно погасить клиент и ходить по
>>>"родной локалке"?
>>
>>наверно как всегда, что бы те кому не положен инет не ходили
>>через тех кому можно :)
>
>исключительно в целях безопасности. клиенты - бухгалтерия ведомственной сети. Инет нужен когда
>отправляются данные в мин.фин. Соответственно, при определенном "везении" можно подхватить что-нибудь
>и нехороший индивидуум получит доступ к зараженной машине, а через нее
>во внутреннюю сеть.
ну так с этого и надо было начинать разговор.
Для того, чтобы решить эту проблему _гарантированно_ есть только один способ, который очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна - защищенная, вторая - с доступом в интернет.
Любые другие варианты - не дают полной гарантии, хотя можно, к примеру, постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по оставшимся разрешенным направлениям соединения/данные.

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено o1gerd , 19-Ноя-09 08:35

>
>ну так с этого и надо было начинать разговор.
>
>Для того, чтобы решить эту проблему _гарантированно_ есть только один способ, который
>очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна
>- защищенная, вторая - с доступом в интернет.
>
>Любые другие варианты - не дают полной гарантии, хотя можно, к примеру,
>постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по
>оставшимся разрешенным направлениям соединения/данные.
технически 2 сети и существуют. Но бухгалтерия это же своеобразный народ. "хочу туда ходить, хочу сюда ходить". Ограничения на соединения с конкретным узлом стоят. Просто интересовал вопрос о возможностях openvpn

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено DogEater , 19-Ноя-09 09:28

>[оверквотинг удален]
>>очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна
>>- защищенная, вторая - с доступом в интернет.
>>
>>Любые другие варианты - не дают полной гарантии, хотя можно, к примеру,
>>постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по
>>оставшимся разрешенным направлениям соединения/данные.
>
>технически 2 сети и существуют. Но бухгалтерия это же своеобразный народ. "хочу
>туда ходить, хочу сюда ходить". Ограничения на соединения с конкретным узлом
>стоят. Просто интересовал вопрос о возможностях openvpn
в конфиге есть параметр learn-address
# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
я выбрал второй вариант и нарезаю правила каждый раз, когда подключается клиент. Соответственно он может ходить только туда и по тем портам, куда решу я.

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено o1gerd , 19-Ноя-09 10:06

>[оверквотинг удален]
># (2) (Advanced) Create a script to dynamically
>#     modify the firewall in response to access
>
>#     from different clients.  See man
>#     page for more info on learn-address script.
>
>
>я выбрал второй вариант и нарезаю правила каждый раз, когда подключается клиент.
>Соответственно он может ходить только туда и по тем портам, куда
>решу я.
ок. почитаю. спасибо

"OpenVPN - как защитить внутреннюю сеть?"
Отправлено qwertykma , 19-Ноя-09 16:14

Может запретить 135-139 порты на внутреннем интерфейсе? да и на внешнем они не нужны. 8)