VPN a pevné linky

[Arteee]

Právě řeším v práci dosti závažnej problém.

Pro cesťáky a lidi co pracují doma máme kvuli připojení do Intranetu zavedenej Tunel. Poskytovatel je Contactel a spojení je DialUp. Dost dlouho to trvalo než jsme někoho našli, kdo by toto poskytoval s přijatelnými parametry, před tím jsme asi nesmyslně platily zahraniční Providery než se dojednal Contactel. Jenže teď čím dál víc lidí ruší telefoní linky a pořizuje si pevné linky (UPC, CesNet atd.), takže pomocí těchto iGW se dostanou do VPN(intel;Shiva). Problém je takovej. Když Jedou přes Contactel, co by čistokrevnej TUNEL(neposkytuje konektivitu do Internetu, tu uživatel dostane po autorizaci do VPN), tak je všechno chráněno i počítač Uživatele. V případě, že uživatel použije nějakou iGW pro připojení do sítě, tak je otevřena možnost útoku přímo z internetu.

Chceme zařídit, aby z firemního počítače za použití jakéhokoliv připojení bylo možné se připojit POUZE na Shivu(VPN). Aby se počítač připojil na specifickou IP, ale bohužel naše VPNko má nějaký Adress Pool, tak jestli nejde nějak omezit připojení na určité rozmezí IP adres.

Uvítám každý nápad

[Jezevec]

Chceme zařídit, aby z firemního počítače za použití jakéhokoliv připojení bylo možné se připojit POUZE na Shivu(VPN). Aby se počítač připojil na specifickou IP, ale bohužel naše VPNko má nějaký Adress Pool, tak jestli nejde nějak omezit připojení na určité rozmezí IP adres.

Tohle rozved, to trochu nechapu.

Firemni komp = komp nekde na inetu u zamestnance doma ?

A ty chces aby se ten komp moh pripojit jen na urcity IP ? To nepude. Respektive, de to, ale sem zvedav, jak zabezpecis komp pred nekym, kdo k nemu ma fyzickej pristup.

IMHO realizovatelny by to bylo asi nasledovne:

A) komp je zapecetenej a provadej se kontroly (nebo nejaka HW karta, na kterou navesis spinace na krytech)
B) system je schopnej vzdaleny spravy, obsahuje pouzitelnej FW, umoznuje nastavovat prava uzivatelum. Doporucil bych Linux, wokna nemaj IPv6 FW.
C) pri kazdym pripojeni na VPN se v ramci overovani posle napr. hash konfiguracnich souboru (u woken se registr meni furt, tak nevim jak to overit)
D) v ramci nastaveni FW bloknou vse krome provozu na danej rozsah IP.

[Arteee]

Počítače jsou jak pevný tak notebooky, uživatel nemá admin práva a povětšinou jede na W2k.
Počítač je čistě v naší WAN(pomocí telefoní linky a tunelu), konektivitu na inet mu poskytuje až naše proxyna
Sám uživatel nemá zájem, aby tohle obešel, ten je s tím srozuměnej a zvyklej. Jde čistě o ochranu firemních dat proti vnějšímu zneužití. V případě že se do naší sítě(Novell) připojí pomocí VPN tak samo všechno kontroluje naše FW.

Takže chceme zamezit možnos připojení kamkoliv jinam než na poskytovatele VPN, po authorizaci ať si dělá co chce, ale ať ten počítač necpe do okolního netu.

Do teďka to jede takle: Uživatel se připojí přes Contactel, dostane IP(neveřejná) ihned po připojení se začne uživatel authorizovat do VPN přes zabespečovací protokoly(logiku) RSA Secured, po authorizaci klient dostane IP od poskytovatele VPN a ten propojí tunel k nám.

V případě, že bude používat nějakej iGW, tak dokud se neautorizuje na VPN tak je viditelnej zvenčí, protože má od iGW nějakou veřejnou IP a tomu chceme zabránit aby nemohl nikde brouzdat aby by byl přístup pouze na poskytovatele VPN, aby ho to donutilo se přihlásit.

FW je jasný řešení, ale je asi moc nákladný, a po zmenšování rozpočtů pro IT nevím, jestli by to prošlo, proto se ptám na nějakou variantu v rámci Systému.

[Marty]

No nestačilo by třeba ten tunel šifrovat?

jestli jsem to teda dobře pochopil - jde ti o to zakázat uživatelům z venku připojovat se na intranet skrz tunel přes internet, ale pouze přes přímej tunel od contactelu.

Přes ten internet by to snad stačilo nějek šifrovat ne

[Arteee]

Tak si to asi moc nepochopil Jde právě o to, že když jedeme přes Contactel, tak to je OK, ale jelikož všicí rušej telefoní linky, tak Contactel používat nemužou, prototože to je jenom Dial-Up Provider. A šifrovaný to samozřejmně je, to zajištuje plná logika RSA(Authorizace + přenos dat). A jde mi o to, aby ostatní lidi jako ty neviděli ten můj počítač v síti(inetu). Pokud to jede přes tunel, tak se to chová jakoby routrovaný a ty můžeš vidět akorát adresu Tunelu, ale ne klienta. Na a když se člověk připojuje na Tunel, tak do tý doby je viditelnej, protože má IP přidělěnou od iGW.

[Jezevec]

No, estli to jede na w2k, tak to bez externiho (SW) FW asi neudelas. Jedine neco nastavit v sitovych pripojenich, aby se nedostal jinam a nemoh to zmenit. Ale pochybuju ze to de. Protoze kdyz se pripoje treba pres UPC, tak ma uz verejnou IP = dostane se vsude. A i pokud bude komunikovat pres VPN, tak mu tahle IP zustane, jen bude mit jeste jednu pro rozhrani VPN.

IMHO jediny "levny" (jak kdy) reseni je prejit na Linux, kterej ma FW v sobe a zadara. Otazka je, jaky aplikace pouzivaji a jestli pod Linuxem pojedou (nejspis v emulaci).

[Arteee]

Jo, kdyby to bylo v mé moci, bohužel jsme součástí celosvětového koncernu, musim dělat s tím co je a nic předělávat nemůžu

S tím FW jsem to tušil, teď si hraju s protokolama, ale nevím

Ale i tak Dík