LostBusy

Интелектуальный firewall. Поиск решения для мобильных юзеров.

В этой теме 4 сообщения

Условия:

Имеется локальная сеть, AD, DHCP, DNS, VPN.

Имеется некоторое количество пользователей с мобильными устройствами (ноутбуками) которым необходимо работать удаленно с внутренней сеткой, что собственно и реализовано.

И так собственно в чем вопрос:

Найти решение которое ограничивало весь трафик кроме как на адрес VPN сервера, но только когда пользователь не находится в самой локалке.

Если простым языком, то когда пользователь находится в локалке и получил свой адрес DHCP, то ему никакие ограничения не выставляются. Если же допустим пришел в какой нить инет клуб, использовал Wi-Fi, и т.д. и получил свой адрес не из локального DHCP, то ему разрешен трафик только на внешний адрес VPN сервера. Естественно есть пожелание, чтобы это происходило автоматически, так как заставить манагеров с ноутами не забывать включать ту или иную "пимпочку" если они не на работе, практически невозможно. Из уточнений нужно сказать, что доступ к инету возможен разными способами, так что данное решение должно учитывать возможность работы и на уровне интерфейсов (сетевое соединение, Wi-Fi, GPRS и т.д.) То есть, когда организован VPN коннект, то в данном интерфейсе, естественно, никакие ограничения не нужны. Что-то вроде "интелектуального" файрвола.

Может быть кто-то решал данную задачу, либо есть мысли по поводу решения просьба высказываться. Я думаю данный вопрос будет интересен многим сисадминам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Условия:

Имеется локальная сеть, AD, DHCP, DNS, VPN.

Имеется некоторое количество пользователей с мобильными устройствами (ноутбуками) которым необходимо работать удаленно с внутренней сеткой, что собственно и реализовано.

И так собственно в чем вопрос:

Найти решение которое ограничивало весь трафик кроме как на адрес VPN сервера, но только когда пользователь не находится в самой локалке.

Если простым языком, то когда пользователь находится в локалке и получил свой адрес DHCP, то ему никакие ограничения не выставляются. Если же допустим пришел в какой нить инет клуб, использовал Wi-Fi, и т.д. и получил свой адрес не из локального DHCP, то ему разрешен трафик только на внешний адрес VPN сервера. Естественно есть пожелание, чтобы это происходило автоматически, так как заставить манагеров с ноутами не забывать включать ту или иную "пимпочку" если они не на работе, практически невозможно. Из уточнений нужно сказать, что доступ к инету возможен разными способами, так что данное решение должно учитывать возможность работы и на уровне интерфейсов (сетевое соединение, Wi-Fi, GPRS и т.д.) То есть, когда организован VPN коннект, то в данном интерфейсе, естественно, никакие ограничения не нужны. Что-то вроде "интелектуального" файрвола.

Может быть кто-то решал данную задачу, либо есть мысли по поводу решения просьба высказываться. Я думаю данный вопрос будет интересен многим сисадминам.

Можете"заглянуть" на наш сайт www.npp-itb.spb.ru, там есть статья, описывающая технологию построения нашего нового продукта СЗИ VPN "Панцирь" для ОС Windows 2000/XP/2003 (пока только статья, документации еще нет, т.к. завершается тестирование - система "выйдет в свет" через пару месяцев). Най мой взгляд, данное средство решает ряд Ваших вопросов (и еще много иных). Кстати, буду благодарен, если поделитесь своим мнением (технология еще на апробации, любое мнение нам важно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

LostBusy

А лучше всего посмотреть на продукт Symantec Endpoint Protection: в нем в том числе реализована такая функция как интеллектуальное определение местонахождения компьютера и в зависимости от этого переключения различных политик, в том числе и Файрвола. Подробнее можно ознакомиться здесь: http://www.anti-malware.ru/index.phtml?par...oint_protection

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я встречал такую функциональность в IBM Proventia Desktop и Cisco Security Agent.

Однако надо, чтобы у ваших менеджеров не было прав локального администратора. Иначе они возьмут и снесут эту вашу защиту, правда, если знают как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS