Я хочу соединить два здания, используя соединение Ethernet с коммутатором на каждом конце. Оборудование внутри зданий безопасно, а кабель - нет. Если бы кто-то порубил кабель и соединил новый разъем, он, по сути, смог бы подключиться к нашей локальной сети. Есть ли какое-либо оборудование, которое я могу установить внутри зданий между кабелями, чтобы соединить сети при шифровании данных между ними, как VPN? Каковы лучшие практики для этого?
3 ответа
3
Если бы это был я; Я бы купил два межсетевых экрана для конечных точек с межсетевым соединением VPN через IPSEC; вместо использования переключателей. Предполагая, что стоимость является проблемой, Windows Server имеет встроенную поддержку PPTP или L2TP. Клиентские VPN требуют много времени для управления; так что посчитайте возросшую стоимость воздействия на ИТ для управления им.
1
Если вас беспокоит возможный злоумышленник с физическим доступом к вашему оборудованию, мало что можно сделать, чтобы защитить его линию передачи данных. Такой злоумышленник может разместить кабели на незашифрованной стороне сервера и прослушивать ваш трафик.
Если вместо этого у вас есть безопасное место для размещения вашего оборудования, то вы можете легко установить умеренно лучшее решение. Важным моментом является наличие двух маршрутизаторов с поддержкой OpenVPN (будь то выделенные ПК или настоящие маршрутизаторы, это не имеет значения), устанавливающих соединение OpenVPN между сайтами. Инструкции о том, как это сделать, вы можете найти здесь, если вы планируете маршрутизировать VPN, или здесь, если вместо этого вас интересует мостовая конфигурация. У обоих есть свои преимущества, хотя я предпочитаю нести небольшую дополнительную плату за трафик ICMP по всей локальной сети, чтобы все локальные ресурсы были доступны для всех машин.
Кроме того, решение немного зависит от предполагаемого объема трафика: это SOHO? Тогда вполне подходит решение с домашним маршрутизатором, подобное упомянутым в двух предоставленных ссылках. Для больших объемов трафика могут потребоваться продукты промышленного класса.
Преимущество этой конфигурации в том, что она достаточно настраиваема: например, вы можете решить, что весь исходящий трафик будет направляться через один из двух маршрутизаторов, или же вы можете выбрать решение, в котором через VPN маршрутизируется только внутренний трафик. и весь исходящий трафик направляется непосредственно в Интернет каждым маршрутизатором. Кроме того, в случае VPN с мостовым подключением вы можете отключить один DHCP-сервер, и один маршрутизатор может предоставить внутренние IP-адреса для всей локальной сети, либо оба маршрутизатора могут выдавать частные IP-адреса в одной подсети, но в неперекрывающихся диапазонах; в этом случае легко обрабатывать запросы DHCP, пытаясь преодолеть пропасть между двумя зданиями.
И, наконец, с помощью такого решения вы уже настроили бы все необходимое для обеспечения безопасного удаленного доступа для сотрудников, работающих дома, или дорожных воинов.
1
Если вы используете Ethernet между зданиями, используйте волоконную оптику, а не провода. Вы будете намного счастливее после нескольких гроз, и ваше оборудование все еще работает ...
Это также значительно повышает ставку на врезку в сеть, хотя, конечно, это возможно, с правильным оборудованием. Но для этого требуется гораздо более подготовленный и способный атакующий.
Затем вы можете положить слой VPN поверх этого, что довольно хорошо покрыто MariusMatutiae
Если вы наблюдаете за сетевым соединением, вы также сможете обнаружить любые срезы, так как они отключат связь на некоторое время, прежде чем будут подключены новые соединители. Небрежные злоумышленники могут также в конечном итоге изменить MAC-адрес, к которому вы подключаетесь (осторожные злоумышленники подделают его, так что это ненадежная проверка).