forum.opennet.ru - "И рыбку съесть и .... " (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"И рыбку съесть и .... "

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"И рыбку съесть и .... "
Сообщение от Fes (??) on 18-Окт-07, 17:47
Hi2all! Народ, есть такая задача, не совсем однозначная, конечно.. так вот: Есть некий офис №1, в которм работают 2 компании. Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах, но никто не может гарантировать что кто-то не поменяет IP или MAC или всунется в другую розетку Ethernet. Эта локальная сеть связана по VPN с сетью офиса №2. Задача: пускать в сеть №2 только определённых людей. Всё что можно было сделать на уровне iptables и свитчей - сделал. Но теоретически эти ограничения можно обойти... У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис №2, но хотя бы отслеживать это... ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

И рыбку съесть и .... , Fes, 17:49 , 18-Окт-07, (1)

И рыбку съесть и .... , artemirk, 18:29 , 18-Окт-07, (2)

И рыбку съесть и .... , Fes, 18:38 , 18-Окт-07, (3)

И рыбку съесть и .... , Ivan, 17:55 , 22-Окт-07, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "И рыбку съесть и .... "

Сообщение от Fes (??) on 18-Окт-07, 17:49

>[оверквотинг удален]
>Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам
>и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах,
>но никто не может гарантировать что кто-то не поменяет IP или
>MAC или всунется в другую розетку Ethernet.
>Эта локальная сеть связана по VPN с сетью офиса №2.
>Задача: пускать в сеть №2 только определённых людей.
>Всё что можно было сделать на уровне iptables и свитчей - сделал.
>Но теоретически эти ограничения можно обойти...
>У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис
>№2, но хотя бы отслеживать это... ?
Ах да!
Забыл сказать о том что сотрудники этих двух компаний должны видеть друг друга в сети.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "И рыбку съесть и .... "

Сообщение от artemirk on 18-Окт-07, 18:29

Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не пробрался?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "И рыбку съесть и .... "

Сообщение от Fes (??) on 18-Окт-07, 18:38

>Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не
>пробрался?
Да, к офису №2 нужно открыть доступ только нужным людям.
Я вот смотрю в сторону OpenVPN , т.е. завернуть один впн в другой (который есть) , выдать людям сертификат и пусть конектяться. НО, снова теоретически есть дырка: админ второй конторы будет иметь права администратора виндового домена, и он сможет утянуть сертификат с флешки, если будет такая необходимость.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "И рыбку съесть и .... "

Сообщение от Ivan (??) on 22-Окт-07, 17:55

Я думаю, что arpwatch тебе здорово поможет с головной болью подмены МАС-адресов. Если ты только этого боишься - то он решение твоих страхов. Если нет - сформулируй что ты еще хочешь закрыть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "И рыбку съесть и .... "
Сообщение от Fes (??) on 18-Окт-07, 17:49
>[оверквотинг удален] >Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам >и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах, >но никто не может гарантировать что кто-то не поменяет IP или >MAC или всунется в другую розетку Ethernet. >Эта локальная сеть связана по VPN с сетью офиса №2. >Задача: пускать в сеть №2 только определённых людей. >Всё что можно было сделать на уровне iptables и свитчей - сделал. >Но теоретически эти ограничения можно обойти... >У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис >№2, но хотя бы отслеживать это... ? Ах да! Забыл сказать о том что сотрудники этих двух компаний должны видеть друг друга в сети.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "И рыбку съесть и .... "
	Сообщение от artemirk on 18-Окт-07, 18:29
	Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не пробрался?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "И рыбку съесть и .... "
	Сообщение от Fes (??) on 18-Окт-07, 18:38
	>Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не >пробрался? Да, к офису №2 нужно открыть доступ только нужным людям. Я вот смотрю в сторону OpenVPN , т.е. завернуть один впн в другой (который есть) , выдать людям сертификат и пусть конектяться. НО, снова теоретически есть дырка: админ второй конторы будет иметь права администратора виндового домена, и он сможет утянуть сертификат с флешки, если будет такая необходимость.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "И рыбку съесть и .... "
	Сообщение от Ivan (??) on 22-Окт-07, 17:55
	Я думаю, что arpwatch тебе здорово поможет с головной болью подмены МАС-адресов. Если ты только этого боишься - то он решение твоих страхов. Если нет - сформулируй что ты еще хочешь закрыть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]