Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ipsec 16.12.03 15:20 Число просмотров: 2371
Автор: nemo Статус: Незарегистрированный пользователь
|
Конечно HandleX прав... Изложу лаконично и в кратце:
1) Нужно сделать непересекающуюся IP сеть.
2) Фаервол конечно можно - но толку мало. Очень легко заспуфить IP и MAC.
3) Для реальной защиты IP трафика единственым корректным способом является IPSEC. Но гимора в нём нет. Можно использовать так называемые Preshared Key. А Kerberos и CA использовать без домена Active Directory это и есть геморрой. Kerberos V5 вообще не пойдёт без AD а IPSEC на Stand Alone CA можно но немного заморочено. Единственный удобный способ это Preshared Key - это общий ключ на основании которого производится симметричное шифрование сеанса. Фактически IPSEC организует тебе VPN только без RRAS сервиса.
4) По поводу портов: IPSEC замечательный фильтр и можно указывать какие вообще протоколы будут работать. Тем более что у винды есть предустановленные три фильтра IPSEC. Ставь везде Secure Server. Эту политику надо немного подправить и всё будет замечательно.
Остаётся одна проблема - местный админ может весь трафик этот слушать (сниферить). Закрыть его и бороться со спуфингом поможет IPSEC но слышать его он всё равно сможет.
Тут может помочь только создание VLAN на свичах, но они как я понял для тебя не доступны.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
