Hi2all!
Народ, есть такая задача, не совсем однозначная, конечно.. так вот:
Есть некий офис №1, в которм работают 2 компании.
Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах, но никто не может гарантировать что кто-то не поменяет IP или MAC или всунется в другую розетку Ethernet.
Эта локальная сеть связана по VPN с сетью офиса №2.
Задача: пускать в сеть №2 только определённых людей.
Всё что можно было сделать на уровне iptables и свитчей - сделал. Но теоретически эти ограничения можно обойти...
У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис №2, но хотя бы отслеживать это... ?
>[оверквотинг удален]
>Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам
>и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах,
>но никто не может гарантировать что кто-то не поменяет IP или
>MAC или всунется в другую розетку Ethernet.
>Эта локальная сеть связана по VPN с сетью офиса №2.
>Задача: пускать в сеть №2 только определённых людей.
>Всё что можно было сделать на уровне iptables и свитчей - сделал.
>Но теоретически эти ограничения можно обойти...
>У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис
>№2, но хотя бы отслеживать это... ?Ах да!
Забыл сказать о том что сотрудники этих двух компаний должны видеть друг друга в сети.
Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не пробрался?
>Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не
>пробрался?Да, к офису №2 нужно открыть доступ только нужным людям.
Я вот смотрю в сторону OpenVPN , т.е. завернуть один впн в другой (который есть) , выдать людям сертификат и пусть конектяться. НО, снова теоретически есть дырка: админ второй конторы будет иметь права администратора виндового домена, и он сможет утянуть сертификат с флешки, если будет такая необходимость.
Я думаю, что arpwatch тебе здорово поможет с головной болью подмены МАС-адресов. Если ты только этого боишься - то он решение твоих страхов. Если нет - сформулируй что ты еще хочешь закрыть.