Интелектуальный firewall. Поиск решения для мобильных юзеров.

[LostBusy 0]

Условия:

Имеется локальная сеть, AD, DHCP, DNS, VPN.

Имеется некоторое количество пользователей с мобильными устройствами (ноутбуками) которым необходимо работать удаленно с внутренней сеткой, что собственно и реализовано.

И так собственно в чем вопрос:

Найти решение которое ограничивало весь трафик кроме как на адрес VPN сервера, но только когда пользователь не находится в самой локалке.

Если простым языком, то когда пользователь находится в локалке и получил свой адрес DHCP, то ему никакие ограничения не выставляются. Если же допустим пришел в какой нить инет клуб, использовал Wi-Fi, и т.д. и получил свой адрес не из локального DHCP, то ему разрешен трафик только на внешний адрес VPN сервера. Естественно есть пожелание, чтобы это происходило автоматически, так как заставить манагеров с ноутами не забывать включать ту или иную "пимпочку" если они не на работе, практически невозможно. Из уточнений нужно сказать, что доступ к инету возможен разными способами, так что данное решение должно учитывать возможность работы и на уровне интерфейсов (сетевое соединение, Wi-Fi, GPRS и т.д.) То есть, когда организован VPN коннект, то в данном интерфейсе, естественно, никакие ограничения не нужны. Что-то вроде "интелектуального" файрвола.

Может быть кто-то решал данную задачу, либо есть мысли по поводу решения просьба высказываться. Я думаю данный вопрос будет интересен многим сисадминам.

[А.Щеглов 6]

Условия:

Имеется локальная сеть, AD, DHCP, DNS, VPN.

Имеется некоторое количество пользователей с мобильными устройствами (ноутбуками) которым необходимо работать удаленно с внутренней сеткой, что собственно и реализовано.

И так собственно в чем вопрос:

Найти решение которое ограничивало весь трафик кроме как на адрес VPN сервера, но только когда пользователь не находится в самой локалке.

Если простым языком, то когда пользователь находится в локалке и получил свой адрес DHCP, то ему никакие ограничения не выставляются. Если же допустим пришел в какой нить инет клуб, использовал Wi-Fi, и т.д. и получил свой адрес не из локального DHCP, то ему разрешен трафик только на внешний адрес VPN сервера. Естественно есть пожелание, чтобы это происходило автоматически, так как заставить манагеров с ноутами не забывать включать ту или иную "пимпочку" если они не на работе, практически невозможно. Из уточнений нужно сказать, что доступ к инету возможен разными способами, так что данное решение должно учитывать возможность работы и на уровне интерфейсов (сетевое соединение, Wi-Fi, GPRS и т.д.) То есть, когда организован VPN коннект, то в данном интерфейсе, естественно, никакие ограничения не нужны. Что-то вроде "интелектуального" файрвола.

Может быть кто-то решал данную задачу, либо есть мысли по поводу решения просьба высказываться. Я думаю данный вопрос будет интересен многим сисадминам.

Можете"заглянуть" на наш сайт www.npp-itb.spb.ru, там есть статья, описывающая технологию построения нашего нового продукта СЗИ VPN "Панцирь" для ОС Windows 2000/XP/2003 (пока только статья, документации еще нет, т.к. завершается тестирование - система "выйдет в свет" через пару месяцев). Най мой взгляд, данное средство решает ряд Ваших вопросов (и еще много иных). Кстати, буду благодарен, если поделитесь своим мнением (технология еще на апробации, любое мнение нам важно).

[Кирилл Керценбаум 671]

LostBusy

А лучше всего посмотреть на продукт Symantec Endpoint Protection: в нем в том числе реализована такая функция как интеллектуальное определение местонахождения компьютера и в зависимости от этого переключения различных политик, в том числе и Файрвола. Подробнее можно ознакомиться здесь: http://www.anti-malware.ru/index.phtml?par...oint_protection

[BDV 10]

Я встречал такую функциональность в IBM Proventia Desktop и Cisco Security Agent.

Однако надо, чтобы у ваших менеджеров не было прав локального администратора. Иначе они возьмут и снесут эту вашу защиту, правда, если знают как.