局域网内有很多客户端,服务器是可信的,客户端不是。
必须确保其他客户端不能欺骗另一个客户端或服务器的 LAN IP 地址。
我想避免使用像 openvpn 或 ipsec 之类的东西,因为不需要加密(LAN)并且这些解决方案过于复杂且难以学习。
还有其他简单的办法吗?
答案1
由于以太网的基本设计,您无法保护同一广播域中的客户端免遭彼此欺骗。即使它们所连接的交换机将学习 MAC 地址到端口的映射并尝试仅将流量发送到正确的端口,但仍有一些技巧可以用来欺骗另一个站点的 MAC 地址并获取其流量。查找 Ettercap 等工具。
因此,您需要构建安全模型,将绝对不能互相欺骗的内容隔离到不同的 VLAN 中。例如,您可以将只有管理员访问权限的内容放在一个或多个 VLAN 中,将具有不受信任的用户的内容放在一个或多个其他 VLAN 中。
在每个 VLAN 内部,绝对不能被同一 VLAN 中的其他站点模仿/嗅探的流量必须在传输层使用加密。
答案2
简单的替代方案是在客户端和服务器 LAN 段之间放置某种防火墙。然后,您需要使用有关数据包欺骗等的选项配置防火墙。我将配置并强化启用了 IPTABLES 的 Ubuntu 服务器版本,该服务器位于客户端和服务器之间。我将使用防火墙构建器在 Ubuntu 桌面上配置 IPTABLES 规则,然后将规则集部署到防火墙服务器。这将是便宜的版本。如果您手头有一些现金,我会订购、安装和配置硬件防火墙,例如 Cisco ASA 或 Checkpoint。