URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3502
[ Назад ]

Исходное сообщение
"И рыбку съесть и .... "

Отправлено Fes , 18-Окт-07 17:47 
Hi2all!
Народ, есть такая задача, не совсем однозначная, конечно.. так вот:
Есть некий офис №1, в которм работают 2 компании.
Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах, но никто не может гарантировать что кто-то не поменяет IP или MAC или всунется в другую розетку Ethernet.
Эта локальная сеть связана по VPN с сетью офиса №2.
Задача: пускать в сеть №2 только определённых людей.
Всё что можно было сделать на уровне iptables и свитчей - сделал. Но теоретически эти ограничения можно обойти...
У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис №2, но хотя бы отслеживать это... ?

Содержание

Сообщения в этом обсуждении
"И рыбку съесть и .... "
Отправлено Fes , 18-Окт-07 17:49 
>[оверквотинг удален]
>Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам
>и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах,
>но никто не может гарантировать что кто-то не поменяет IP или
>MAC или всунется в другую розетку Ethernet.
>Эта локальная сеть связана по VPN с сетью офиса №2.
>Задача: пускать в сеть №2 только определённых людей.
>Всё что можно было сделать на уровне iptables и свитчей - сделал.
>Но теоретически эти ограничения можно обойти...
>У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис
>№2, но хотя бы отслеживать это... ?

Ах да!
Забыл сказать о том что сотрудники этих двух компаний должны видеть друг друга в сети.


"И рыбку съесть и .... "
Отправлено artemirk , 18-Окт-07 18:29 
Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не пробрался?



"И рыбку съесть и .... "
Отправлено Fes , 18-Окт-07 18:38 
>Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не
>пробрался?

Да, к офису №2 нужно открыть доступ только нужным людям.
Я вот смотрю в сторону OpenVPN , т.е. завернуть один впн в другой (который есть) , выдать людям сертификат и пусть конектяться. НО, снова теоретически есть дырка: админ второй конторы будет иметь права администратора виндового домена, и он сможет утянуть сертификат с флешки, если будет такая необходимость.


"И рыбку съесть и .... "
Отправлено Ivan , 22-Окт-07 17:55 
Я думаю, что arpwatch тебе здорово поможет с головной болью подмены МАС-адресов. Если ты только этого боишься - то он решение твоих страхов. Если нет - сформулируй что ты еще хочешь закрыть.