The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"И рыбку съесть и .... "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"И рыбку съесть и .... "  
Сообщение от Fes email(??) on 18-Окт-07, 17:47 
Hi2all!
Народ, есть такая задача, не совсем однозначная, конечно.. так вот:
Есть некий офис №1, в которм работают 2 компании.
Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах, но никто не может гарантировать что кто-то не поменяет IP или MAC или всунется в другую розетку Ethernet.
Эта локальная сеть связана по VPN с сетью офиса №2.
Задача: пускать в сеть №2 только определённых людей.
Всё что можно было сделать на уровне iptables и свитчей - сделал. Но теоретически эти ограничения можно обойти...
У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис №2, но хотя бы отслеживать это... ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "И рыбку съесть и .... "  
Сообщение от Fes email(??) on 18-Окт-07, 17:49 
>[оверквотинг удален]
>Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам
>и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах,
>но никто не может гарантировать что кто-то не поменяет IP или
>MAC или всунется в другую розетку Ethernet.
>Эта локальная сеть связана по VPN с сетью офиса №2.
>Задача: пускать в сеть №2 только определённых людей.
>Всё что можно было сделать на уровне iptables и свитчей - сделал.
>Но теоретически эти ограничения можно обойти...
>У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис
>№2, но хотя бы отслеживать это... ?

Ах да!
Забыл сказать о том что сотрудники этих двух компаний должны видеть друг друга в сети.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "И рыбку съесть и .... "  
Сообщение от artemirk email on 18-Окт-07, 18:29 
Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не пробрался?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "И рыбку съесть и .... "  
Сообщение от Fes email(??) on 18-Окт-07, 18:38 
>Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не
>пробрался?

Да, к офису №2 нужно открыть доступ только нужным людям.
Я вот смотрю в сторону OpenVPN , т.е. завернуть один впн в другой (который есть) , выдать людям сертификат и пусть конектяться. НО, снова теоретически есть дырка: админ второй конторы будет иметь права администратора виндового домена, и он сможет утянуть сертификат с флешки, если будет такая необходимость.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "И рыбку съесть и .... "  
Сообщение от Ivan (??) on 22-Окт-07, 17:55 
Я думаю, что arpwatch тебе здорово поможет с головной болью подмены МАС-адресов. Если ты только этого боишься - то он решение твоих страхов. Если нет - сформулируй что ты еще хочешь закрыть.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру