форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenVPN - как защитить внутреннюю сеть?"		+/–
Сообщение от o1gerd (ok) on 18-Ноя-09, 17:17
Уважаемые коллеги! Подскажите решение вот такой задачи. Поиск юзал, но т.к. внятно не получается односложно описать то, что нужно, ничего не нашел. Итак, есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например. Этот комп, соответственно, получает через vpn выход в инет. При этом с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и заходить на любые машины в своей сети. Вопрос вот в чем... Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной сети?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "OpenVPN - как защитить внутреннюю сеть?"		+/–
Сообщение от ALex_hha (ok) on 18-Ноя-09, 17:23
А сам vpn сервер тоже в подсети 10.10.10.0/24?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от o1gerd (ok) on 18-Ноя-09, 17:38
	>А сам vpn сервер тоже в подсети 10.10.10.0/24? нет. 10.10.10.0/24 - это одна из сетей подразделения. сервер в магистральной сети: 172.16....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от reader (ok) on 18-Ноя-09, 17:53
	попробовать менять таблицу маршрутизации при поднятии vpn?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от shadow_alone (ok) on 18-Ноя-09, 21:25
	>попробовать менять таблицу маршрутизации при поднятии vpn? :) каким образом Вы предлагаете это сделать? всю сеть в blackhole? ну тогда он и шлюза не увидит чтоб попасть на vpn....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от reader (ok) on 19-Ноя-09, 14:24
	>>попробовать менять таблицу маршрутизации при поднятии vpn? > >:) >каким образом Вы предлагаете это сделать? >всю сеть в blackhole? ну тогда он и шлюза не увидит чтоб >попасть на vpn.... при поднятии vpn убирать локалку за шлюз :) [root@localhost sysconfig]# route -n Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 10.10.0.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0 0.0.0.0         10.10.0.254     0.0.0.0         UG    0      0        0 eth0 [root@localhost sysconfig]# tracepath -n 10.10.0.1 1:  10.10.0.17        0.186ms pmtu 1500 1:  10.10.0.1         1.035ms reached 1:  10.10.0.1         0.494ms reached      Resume: pmtu 1500 hops 1 back 64 [root@localhost sysconfig]# route del -net 10.10.0.0/24 [root@localhost sysconfig]# route -n Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 0.0.0.0         10.10.0.254     0.0.0.0         UG    0      0        0 eth0 [root@localhost sysconfig]# tracepath -n 10.10.0.1 1:  10.10.0.17        0.189ms pmtu 1500 1:  10.10.0.254       1.042ms 1:  10.10.0.254       0.504ms 2:  10.10.0.1         1.031ms reached      Resume: pmtu 1500 hops 2 back 64 [root@localhost sysconfig]#
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OpenVPN - как защитить внутреннюю сеть?"		+/–
Сообщение от PavelR (??) on 18-Ноя-09, 18:01
>Уважаемые коллеги! Подскажите решение вот такой задачи. Поиск юзал, но т.к. внятно >не получается односложно описать то, что нужно, ничего не нашел. Итак, >есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов >установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например. >Этот комп, соответственно, получает через vpn выход в инет. При этом >с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и >заходить на любые машины в своей сети. Вопрос вот в чем... >Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной >сети? внимание вопрос: нафига это делать, если можно погасить клиент и ходить по "родной локалке"?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от reader (ok) on 18-Ноя-09, 18:07
	>[оверквотинг удален] >>есть некая сеть, пусть с адресацией 10.10.10.0/24. На одном из компов >>установлен openvpn-gui. При подключении сервер выдает этому компу адрес 192.168.1.5 например. >>Этот комп, соответственно, получает через vpn выход в инет. При этом >>с этого компа остается возможность видеть сетевое окружение сети 10.10.10.0/24 и >>заходить на любые машины в своей сети. Вопрос вот в чем... >>Можно ли на время работы vpn-соединения запрещать доступ к "родной" локальной >>сети? > >внимание вопрос: нафига это делать, если можно погасить клиент и ходить по >"родной локалке"? наверно как всегда, что бы те кому не положен инет не ходили через тех кому можно :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от o1gerd (ok) on 19-Ноя-09, 07:43
	>>внимание вопрос: нафига это делать, если можно погасить клиент и ходить по >>"родной локалке"? > >наверно как всегда, что бы те кому не положен инет не ходили >через тех кому можно :) исключительно в целях безопасности. клиенты - бухгалтерия ведомственной сети. Инет нужен когда отправляются данные в мин.фин. Соответственно, при определенном "везении" можно подхватить что-нибудь и нехороший индивидуум получит доступ к зараженной машине, а через нее во внутреннюю сеть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от PavelR (??) on 19-Ноя-09, 08:13
	>[оверквотинг удален] >>>внимание вопрос: нафига это делать, если можно погасить клиент и ходить по >>>"родной локалке"? >> >>наверно как всегда, что бы те кому не положен инет не ходили >>через тех кому можно :) > >исключительно в целях безопасности. клиенты - бухгалтерия ведомственной сети. Инет нужен когда >отправляются данные в мин.фин. Соответственно, при определенном "везении" можно подхватить что-нибудь >и нехороший индивидуум получит доступ к зараженной машине, а через нее >во внутреннюю сеть. ну так с этого и надо было начинать разговор. Для того, чтобы решить эту проблему _гарантированно_ есть только один способ, который очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна - защищенная, вторая - с доступом в интернет. Любые другие варианты - не дают полной гарантии, хотя можно, к примеру, постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по оставшимся разрешенным направлениям соединения/данные.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от o1gerd (ok) on 19-Ноя-09, 08:35
	> >ну так с этого и надо было начинать разговор. > >Для того, чтобы решить эту проблему _гарантированно_ есть только один способ, который >очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна >- защищенная, вторая - с доступом в интернет. > >Любые другие варианты - не дают полной гарантии, хотя можно, к примеру, >постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по >оставшимся разрешенным направлениям соединения/данные. технически 2 сети и существуют. Но бухгалтерия это же своеобразный народ. "хочу туда ходить, хочу сюда ходить". Ограничения на соединения с конкретным узлом стоят. Просто интересовал вопрос о возможностях openvpn
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от DogEater (ok) on 19-Ноя-09, 09:28
	>[оверквотинг удален] >>очень широко применяется именно в ведомственных организациях: сделайте две сети. Одна >>- защищенная, вторая - с доступом в интернет. >> >>Любые другие варианты - не дают полной гарантии, хотя можно, к примеру, >>постараться по-максимуму закрыть "выход в интернет", а также мониторить передаваемые по >>оставшимся разрешенным направлениям соединения/данные. > >технически 2 сети и существуют. Но бухгалтерия это же своеобразный народ. "хочу >туда ходить, хочу сюда ходить". Ограничения на соединения с конкретным узлом >стоят. Просто интересовал вопрос о возможностях openvpn в конфиге есть параметр learn-address # Suppose that you want to enable different # firewall access policies for different groups # of clients.  There are two methods: # (1) Run multiple OpenVPN daemons, one for each #     group, and firewall the TUN/TAP interface #     for each group/daemon appropriately. # (2) (Advanced) Create a script to dynamically #     modify the firewall in response to access #     from different clients.  See man #     page for more info on learn-address script. я выбрал второй вариант и нарезаю правила каждый раз, когда подключается клиент. Соответственно он может ходить только туда и по тем портам, куда решу я.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от o1gerd (ok) on 19-Ноя-09, 10:06
	>[оверквотинг удален] ># (2) (Advanced) Create a script to dynamically >#     modify the firewall in response to access > >#     from different clients.  See man >#     page for more info on learn-address script. > > >я выбрал второй вариант и нарезаю правила каждый раз, когда подключается клиент. >Соответственно он может ходить только туда и по тем портам, куда >решу я. ок. почитаю. спасибо
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "OpenVPN - как защитить внутреннюю сеть?"		+/–
	Сообщение от qwertykma on 19-Ноя-09, 16:14
	Может запретить 135-139 порты на внутреннем интерфейсе? да и на внешнем они не нужны. 8)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема