Conexão Ethernet entre edifícios

Se você está preocupado com um possível intruso com acesso físico ao seu equipamento, não há muito o que fazer para proteger sua linha de dados. Esse intruso poderia colocar cabos no lado não criptografado de um servidor e ouvir o tráfego.

Se, em vez disso, você tiver algum lugar seguro onde colocar seu hardware, poderá configurar facilmente uma solução moderadamente melhor. O ponto importante é ter dois roteadores compatíveis com OpenVPN (sejam PCs dedicados ou roteadores reais, não importa), configurando uma conexão OpenVPN site-a-site. Você pode encontrar instruções sobre como fazer isso aqui se estiver contemplando uma VPN roteada, ou aqui se você estiver interessado em uma ponte configuração. Há vantagens para ambos, embora eu prefira incorrer no pequeno custo extra do tráfego ICMP em toda a LAN para ter todos os recursos locais disponíveis para todas as máquinas.

Além disso, a solução depende um pouco do tamanho do tráfego que você está imaginando: isso é um SOHO? Em seguida, uma solução com um roteador doméstico como os mencionados nas duas referências fornecidas é bastante adequada. Quantidades maiores de tráfego podem exigir produtos de nível industrial.

A vantagem dessa configuração é que ela é amplamente personalizável: por exemplo, você pode decidir que todo o tráfego de saída será canalizado por apenas um dos dois roteadores ou, alternativamente, optar por uma solução em que somente o tráfego interno é roteado através da VPN, e todo o tráfego de saída é canalizado diretamente para a Internet por cada roteador. Além disso, no caso de uma VPN em ponte, você pode desabilitar um servidor DHCP e ter um roteador fornecendo IPs internos para a LAN inteira ou fazer com que ambos os roteadores forneçam endereços IP privados, na mesma sub-rede, mas em intervalos não sobrepostos; Neste caso, é fácil cuidar dos pedidos de DHCP que tentam atravessar a divisão entre os dois edifícios.

E, por último, com uma solução desse tipo, você já teria configurado tudo para fornecer acesso remoto seguro aos funcionários que trabalham em casa ou aos guerreiros da estrada.

Se fosse eu; Eu compraria dois firewalls de ponto de extremidade com VPN site-to-site por meio de IPSEC; em vez de usar switches. Supondo que o custo é um problema, o Windows Server criou suporte para PPTP ou L2TP. VPNs baseadas em cliente precisam de muito gerenciamento; então conte o aumento do custo do impacto na TI para gerenciá-lo.

Se você estiver executando Ethernet entre edifícios, use fibra óptica, não fios. Você ficará muito mais feliz depois de ter algumas tempestades e seu equipamento ainda funcionar ...

Isso também aumenta consideravelmente as apostas no corte na rede, embora, é claro, ainda seja possível, com o equipamento certo. Mas é preciso um atacante muito mais preparado e capaz.

Então você pode colocar a camada VPN em cima disso, como bem coberto por MariusMatutiae

Se você monitorar o link da rede, também será possível detectar os cortes, pois eles levarão o link para baixo por algum período de tempo antes que novos conectores possam ser conectados. Invasores mal-intencionados também podem acabar mudando o endereço MAC ao qual você está se conectando (os invasores cuidadosos irão imitá-lo, então essa não é uma verificação confiável).