Jump to content
Sign in to follow this  
uff

Ограничить доступ клиентов к координатору

Recommended Posts

Интерфейсы координатора находятся в анонсированных сетях. Как разрешить доступ к координатору HW1000 v.3.5 клиентов VipNet только из определенных сетей (диапазона реальных ip адресов)? 

Share this post


Link to post
Share on other sites

Вообще логика не понятна. Если Вы не хотите, чтобы пользователи подключались к координатору, может и не стоит ставить на них клиентское ПО?

А вообще, если действительно на ПК стоят Клиенты ViPNet, фильтр защищенной сети Вам в помощь. Чтобы не было возможности использовать виртуальные адреса, блокируйте по ID узла.

Share this post


Link to post
Share on other sites
2 часа назад, Wild сказал:

Вообще логика не понятна. Если Вы не хотите, чтобы пользователи подключались к координатору, может и не стоит ставить на них клиентское ПО?

 

Логика простая: Настроить координатор так, что бы он блокировал закрытые пакеты клиентов, если их переставят на ПЭВМ из сети, отличной от подсети координатора.

2 часа назад, Wild сказал:

А вообще, если действительно на ПК стоят Клиенты ViPNet, фильтр защищенной сети Вам в помощь. Чтобы не было возможности использовать виртуальные адреса, блокируйте по ID узла.

Настраиваем координатор, фильтр защищенной сети ViPNet клиентов не трогаем.

 

Share this post


Link to post
Share on other sites
20 минут назад, uff сказал:

Настроить координатор так, что бы он блокировал закрытые пакеты клиентов, если их переставят на ПЭВМ из сети, отличной от подсети координатора.

ViPNet так не работает: открытая часть IP-пакета - просто конверт, в который упакованы данные защищённой сети.
Доверять этому конверту нельзя, поэтому данные конверта не анализируются каким-либо специальным образом.

Share this post


Link to post
Share on other sites

А антиспуфинг не поможет? Или какая нибудь другая фича?

Share this post


Link to post
Share on other sites

Антиспуфинг это если Вам через внешний интерфейс начнут присылать пакеты с адресами из внутренней сети. В Вашем случае адрес будет также маршрутизируемым, т.е. антиспуфинг не сработает.

  Как уже верно было сказано ip-адрес из открытой части пакета можно легко подменить, поэтому координатор его не проверяет сколь-нибудь тщательно. Но если хочется обеспечивать такую фильтрацию, то без установки дополнительного МЭ не обойтись.

 Также можно использовать ПО ViPNet Statewatcher и правила, по которым он будет сигнализировать об изменении ip-адресов у клиентов.

 

Share this post


Link to post
Share on other sites
1 час назад, uff сказал:

А антиспуфинг не поможет? Или какая нибудь другая фича?

Если вам вообще не требуется межсетевой обмен или этот конкретный координатор в не участвует в межсетевом обмене, то можно запретить ViPNet-трафик (IP/241 и UDP на порт инкапсуляции), если IP-адрес источника не находятся в подсетях координатора.
Только это будут правила открытой сети. Их работоспособность зависит от порядка обработки пакетов и, соответственно, может потребовать отдельного межсетевого экрана, создать разные глюки и, тем не менее, не позволить достигнуть конечной цели.

 

Share this post


Link to post
Share on other sites

Zero все верно расписал, решали такую задачу, поможет только промежуточный МЭ.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.