Максимальная защищённость - это когда СВОИ шнурки, желательно закопанные в СВОИ канавы, а не развешанные на чужих столбах, или СВОИ передачи, через СВОИ тарелки и СВОИ спутники. Как только ты канал заводишь на ЧУЖОЕ (стороннее) оборудование, то максимальная защищённость улетучивается и превращается в защищённость какого-то уровня, а уровень зависит уже от средств защиты (VPN или т.п.).
Я соединял через Zyxel VDSL модемы, но нужно чтобы местный телеком дал тебе пару телефонную.
И скроссировал ее от офиса к офису. Это если в одном городе находишься.
Если в разных, тогда ВПН и два провайдера.
Можно к примеру построить VPN на роутерах. Как вариант D-link 804(808)
Они поддерживают технологию IPSec(IP Security) туннель очень надежный канал так называемы й аппаратный VPN.
Поддерживает Des 3Des шифрование.
Документации по настройке ipsec благо - предостаточно. Так что советую вам прокинуть туннель при помощи роутеров умеющих это делать и все будет ок.
(14) В таком случае нужно иметь статические внешние IP адреса на обоих концах туннеля, что не всегда предоставляют некоторые провайдеры. В таком случае либо DYNDNS+VPN либо Хамачи+VPN.
Если есть хороший канал Internet, то можно VPN через него, на базе Microsoft хорошо показал себя L2TP с шифрованием не по ключу, а сертификатом. По другим не в курсе :( Если есть возможность проложить оптику, то можно так сделать и разделить сети, чтоб по оптике шел опять-таки тот же VPN между сетями. Насчет хамачи прочих - не рекомендовал бы, потому что в этом случае на чужих серверах будет гулять ваш трафик и никто не знает, что там с ним происходит.
VPN между офисами на IPSEC однозначно
если есть деньги: на железяках
если на железяках, самое главное правило: это должен быть не D-Link
в идеале на CISCO, даже на самых недорогих (есть подобие веб-интерфейса, основная терминология+мануал по настройке VPN из сети в руки)
=======
самое главное при выборе технологии и ее стоимости помнить, что если офисы начнут гонять по каналу свои важные корп данные, падение канала - одна из самых зверских проблем IT специалиста, решение которой происходит под неимоверным давлением руководства уже двух офисов.
Тут все зависит от расположения офисов если офисы в одном помещении или на небольшой удаленности можно кинуть витую пару или оптику, поставить свичи и пользоваться (плюс от такой связи это скорость надёжность и бабло платить ни кому не надо из провайдеров. Если удаленность большая то только завязывать через интернет.
Самый лучший способ, это "Железно" связать 2 офиса с помощью Mikrotik или Cisco, но железо стоит денег. Второй способ, это Kerio WinRoute FireWall. 2 года им пользуюсь, связано 4 офиса, проблем нет! )
38.
andreygagarin@mail.ru
04.01.12 10:48 Сейчас в теме
(35)Использовал в центральном офисе D-Link DFL-800,в филиалах (около 10-ти) DI-804, DSL-G804V, в некоторых, где был всего один компьютер, простой ADSL модем (VPN с компа поднимается). Изучал сам с нуля. D-Link выгоден тем, что "железки" дешевые. На сайте (dlink.ru) полно описаний пошаговых как и что настроить и на форуме ихнем все разжевано по десять раз.
У меня работает ISA в головном офисе и D-Link DI-804 в 3-х удаленных филиалах. Соединение Сеть-то-сеть, IPsec DES и 3DES шифрование. Работает на ура. Главное изначально все настроить.
3DES более защищенный вариант шифрования.
В последних прошивках D-Link не поддерживает 3DES.
В центральном офисе как вариант можно поставить DFL-800.
Можно организовать на Zywall-ах, но это будет по дороже. А с другой стороны они более производительны и защита у них как мне кажется посерьезней D-Link-а.
Лучше конечно поставить cisco, но не у всех на это хватает денег, самый дешевый вариант vpn + шлю под FreeBSD хотя то что построил один человек второй человек может сломать .... вообще какого рода инфа будет скидываться... ???? может не надо ставить монстра а все гораздо проще ....
Связать конечно лучше оптикой, кроме сетки в дальнейшем по ней и телефонку можено будет кинуть, а может при дальнейшем развитии и связать какие нибудь системы видеонаблюдения или проходных. Лучше сразу заложить и не экономить, чем потом переделывать 10 раз.
Большинство аппаратных VPN систем представляют собой роутеры с функцией шифрования трафика. Они обеспечивают безопасность и легки в использовании, так как их установка максимально приближена к «plug and play». Считается, что они обеспечивают наибольшую пропускную способность среди всех продуктов VPN. Это обусловлено тем, что они не тратят процессорное время «впустую» на работу операционной системы или других приложений, а также не занимаются побочными действиями, например, фильтрацией трафика. Однако, такие системы не столь гибки, как, скажем, системы на основе программных решений. Такие устройства применяться для построения Intranet VPN. Лучшие предложения аппаратных шлюзов включают в себя софт-клиенты для удаленной установки, и в них интегрированы некоторые возможности контроля доступа, которые традиционно свойственны межсетевым экранам и другим устройствам по защите периметра. Такие устройства приближаются к классу firewall-based VPN.
(52)
А не подскажете, где можно подробней почитать о создании таких ВПН? Пробовали программно сделать - не пошло почему-то. Теперь хочется изучить аппаратный ВПН.
VPN конечто что надо!, но помните что елси Вы администрируете систему, то если это Win Server настройте права доступа очень жестко и примените политику по запуску и установку программ в политике безопасности, т.к. есть вирусы( если Ваш юзер(ы) будут с дома ходить ну вдруг) которые атакуют порты и даже антивирус вроде Kaspewrsky Endpoint не может отследить, вплоть до того что вирус может поменять пароль администратора (это лечится ERD Commander).
Для простоты решения - только VPN в любом виде. Аппаратный предпочтительнее. Настроить аппаратуру на непосредственное подключение и иметь прозрачный канал между двумя точками.
Два недорогих компьютера с установленной OpenBSD и настроенным OpenVPN между ними - это самый дешевый и надежный вариант. Все остальное тоже надежно, но дороже.
Если провайдер один то идеальный вариант VLAN от провайдера т.к. деньги в защиту каналов провайдер может и вкладывает больше. Если нет то два "железных" VPN типа Cisco 800.
Есть относительно дешевые решения на Mikrotik. НЕ СЧИТАТЬ РЕКЛАМОЙ!!!
Сами работаем на них. Строим VPN (PPTP) через локалку билайна. Работа как в офисе за компом. Возможно построить VPN на L2TP, OpenVPN. Возможно объединение двух локалок через них. Примеров конфигурирования в инете уже много.
Если надо могу порекомендовать модели (в зависимости от задач и скорости)
Если прямая видимость то через WiFi, частоту кокой нибудь австралии выставил и никто её не увидит. На прошлой работе организовал так: 3 магазина, 2 зацепил через WiFi дальность до 5000 м, третий через маршрутизатор Zyxel 35E, на обоих сторонах, можно через нет, я зделал через местную сетку.
Если есть хороший канал Internet, то можно VPN через него, на базе Microsoft хорошо показал себя L2TP с шифрованием не по ключу, а сертификатом. По другим не в курсе :( Если есть возможность проложить оптику, то можно так сделать и разделить сети, чтоб по оптике шел опять-таки тот же VPN между сетями.
Очень правильно подсказывают по VPN, даже синхронный оптиковолоконный канал придется как-то организовывать и защищать - наиболее удобный способ VPN. Сниферы существуют даже для оптики - только оооочень сложно с ними работать (ввариваться в волокно и так далее) - видел гос.каналы защищенные - идут в трубе - труба под давлением. При отклонениях давления в трубе появляются двое из ларца :)
Если в шутку, то хорошо бронированными дверьми :) Если связать информационными каналами, то тут не панацеи ... Что Вы хотите защитить? Поток? Базу данных и доступ к ней? Уже две задачи. IP буду все равно выделенными или будете привязываться к какому-нибудь халявному имени типа no-ip? VPN, как тут народ говорит - это всего льшь средство доступа в сеть. Если вашу сеть обнаружили, то самое главное - последние сервиспаки на ОС + фаер + нормальные по сложности пароли + хорошо настроенные политики на сервере.