我想使用以太网连接两栋建筑,两端各有一个交换机。建筑内的设备是安全的,但电缆却不安全。如果有人切断电缆并接上新的连接器,他们基本上就可以进入我们的局域网。我是否可以在建筑内电缆之间放置任何硬件来桥接网络,同时像 VPN 一样加密它们之间的数据?这方面的最佳实践是什么?
答案1
如果你担心可能有人入侵身体的访问您的设备,人们无法保护自己的数据线。这样的入侵者可以将电缆放在服务器未加密的一侧,并监听您的通信。
如果您有安全的地方放置硬件,那么您可以轻松地设置一个稍好一些的解决方案。重点是拥有两个支持 OpenVPN 的路由器(无论是专用 PC 还是真正的路由器,都没关系),设置站点到站点的 OpenVPN 连接。您可以找到有关如何执行此操作的说明这里如果你正在考虑使用路由 VPN,或者这里如果您对桥接配置感兴趣。尽管我宁愿承担整个 LAN 上 ICMP 流量的额外小成本,以便让所有机器都可以使用所有本地资源,但这两种配置都有优势。
此外,解决方案还取决于您设想的流量大小:这是 SOHO 吗?那么使用家用路由器(如提供的两个参考资料中提到的)的解决方案非常合适。流量较大时可能需要工业级产品。
这种配置的优点是可以充分定制:例如,您可以决定所有传出流量只通过两个路由器中的一个,或者您可以选择一种解决方案,其中只有内部流量通过 VPN 路由,所有传出流量都由每个路由器直接传送到互联网。此外,在桥接 VPN 的情况下,您可以禁用一个 DHCP 服务器,让一个路由器为整个 LAN 提供内部 IP,或者让两个路由器在同一子网但不重叠的范围内分配私有 IP 地址;在这种情况下,很容易处理试图跨越两栋建筑之间的鸿沟的 DHCP 请求。
最后,通过这种类型的解决方案,您就已经设置好了所有需要的内容,为在家工作的员工或在路上的员工提供安全的远程访问。
答案2
如果是我,我会购买两个带有 IPSEC 站点到站点 VPN 的端点防火墙,而不是使用交换机。假设成本是一个问题,Windows Server 已内置对 PPTP 或 L2TP 的支持。但是,基于客户端的 VPN 确实需要花费很多精力进行管理,因此请计算 IT 管理成本的增加。
答案3
如果您在建筑物之间运行以太网,请使用光纤,而不是电线。在经历了几场雷雨之后,您的设备仍然正常工作,您会更开心……
这也大大增加了侵入网络的风险,当然,只要有合适的设备,侵入网络还是有可能的。但这需要准备充分、能力更强的攻击者。
然后,您可以将 VPN 层放在其上,正如 MariusMatutiae 详细介绍的那样
如果您监控网络链接,您还将能够检测到任何断线,因为它们会在新的连接器接上之前将链接断开一段时间。粗心的攻击者可能最终会更改您连接的 MAC 地址(细心的攻击者会欺骗它,因此这不是一个可靠的检查。)