https://www.opennet.me/openforum/vsluhforumID10/3502.html Hi2all!<br>Народ, есть такая задача, не совсем однозначная, конечно.. так вот:<br>Есть некий офис &#8470;1, в которм работают 2 компании.<br>Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах, но никто не может гарантировать что кто-то не поменяет IP или MAC или всунется в другую розетку Ethernet. <br>Эта локальная сеть связана по VPN с сетью офиса &#8470;2. <br>Задача: пускать в сеть &#8470;2 только определённых людей. <br>Всё что можно было сделать на уровне iptables и свитчей - сделал. Но теоретически эти ограничения можно обойти... <br>У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис &#8470;2, но хотя бы отслеживать это... ?<br> https://www.opennet.me/openforum/vsluhforumID10/3502.html#4 Mon, 22 Oct 2007 13:55:02 GMT Я думаю, что arpwatch тебе здорово поможет с головной болью подмены МАС-адресов. Если ты только этого боишься - то он решение твоих страхов. Если нет - сформулируй что ты еще хочешь закрыть.<br> https://www.opennet.me/openforum/vsluhforumID10/3502.html#3 Thu, 18 Oct 2007 14:38:39 GMT &gt;Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не <br>&gt;пробрался? <br><br>Да, к офису &#8470;2 нужно открыть доступ только нужным людям.<br>Я вот смотрю в сторону OpenVPN , т.е. завернуть один впн в другой (который есть) , выдать людям сертификат и пусть конектяться. НО, снова теоретически есть дырка: админ второй конторы будет иметь права администратора виндового домена, и он сможет утянуть сертификат с флешки, если будет такая необходимость.<br><br> https://www.opennet.me/openforum/vsluhforumID10/3502.html#2 Thu, 18 Oct 2007 14:29:02 GMT Какого рода вторжение? Надо чтобы никто кроме 2 офиса до VPN не пробрался?<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/3502.html#1 Thu, 18 Oct 2007 13:49:01 GMT &gt;[оверквотинг удален]<br>&gt;Сетевое оборудование - общее. Купил управляемые свитчи с возможностью привязки к MAC'ам <br>&gt;и прочими наворотами. Есть локальная сеть. IP прописаны статически на клиентах, <br>&gt;но никто не может гарантировать что кто-то не поменяет IP или <br>&gt;MAC или всунется в другую розетку Ethernet. <br>&gt;Эта локальная сеть связана по VPN с сетью офиса &#8470;2. <br>&gt;Задача: пускать в сеть &#8470;2 только определённых людей. <br>&gt;Всё что можно было сделать на уровне iptables и свитчей - сделал. <br>&gt;Но теоретически эти ограничения можно обойти... <br>&gt;У кого-то есть идеи, как можно, пускай не предотвратить вторжение в офис <br>&gt;&#8470;2, но хотя бы отслеживать это... ? <br><br>Ах да!<br>Забыл сказать о том что сотрудники этих двух компаний должны видеть друг друга в сети.<br>