В локальной сети много клиентов. Сервер является доверенным, а клиенты - нет.
Необходимо убедиться, что другие клиенты не могут подделать IP-адрес других клиентов или LAN серверов.
Я хочу не беспокоиться о чем-то вроде openvpn или ipsec, потому что шифрование не требуется (LAN), и эти решения излишни и сложны для изучения.
Есть ли простые альтернативы?
Легкой альтернативой было бы установить какой-либо межсетевой экран между сегментами локальной сети клиента и сервера. Тогда вы захотите настроить брандмауэр с параметрами, касающимися подмены пакетов и тому подобного. Я бы настроил и укрепил версию сервера Ubuntu с включенной функцией IPTABLES, которая находится между клиентами и серверами. Я настроил бы правила IPTABLES на рабочем столе Ubuntu с помощью построителя брандмауэра, а затем развернул набор правил на сервере брандмауэра. Это была бы дешевая версия. Если у вас есть наличные деньги, я закажу, установлю и настрою аппаратный брандмауэр, такой как Cisco ASA или Checkpoint.
Из-за базовой конструкции Ethernet вы не можете защитить клиентов в одном и том же широковещательном домене от подделки друг друга. Даже если коммутатор, к которому они подключены, изучит MAC-адрес для сопоставлений портов и попытается отправить трафик только на правильный порт, существуют хитрости, которые можно использовать для подмены MAC-адреса другой станции и получения трафика. Посмотрите на такие инструменты, как Ettercap.
Следовательно, вам необходимо построить свою модель безопасности на основе разделения вещей, которые абсолютно не должны подделывать друг друга в разные VLAN. Так, например, вы можете поместить все, у кого есть только административный доступ, в одну или несколько VLAN, а все, у кого нет доверенных пользователей, в одну или несколько других VLAN.
Внутри каждой VLAN трафик, который абсолютно не должен олицетворяться / перехватываться другими станциями в той же VLAN, должен использовать шифрование на транспортном уровне.