Мережа "Ворожа" в компанії - будь ласка, прокоментуйте налаштування безпеки

13

У мене тут є маленька конкретна проблема, яку я хочу (потребую) вирішити задовільно. Моя компанія має кілька мереж (IPv4), якими керує наш маршрутизатор, що сидить посередині. Типовий розмір магазину. Зараз існує ще одна додаткова мережа, яка має діапазон IP зовнішнього контролю, підключений до Інтернету за допомогою іншого маршрутизатора ЗОВНІШНЬОГО нашого управління. Назвіть це проектною мережею, яка є частиною іншої мережі компаній та об'єднана через VPN, яку вони створили.

Це означає:

  • Вони керують маршрутизатором, який використовується для цієї мережі та
  • Вони можуть переналаштувати речі, щоб мати доступ до машин у цій мережі.

Мережа фізично розділена на нашому кінці через деякі комутатори, що підтримують VLAN, оскільки вона охоплює три місця. На одному кінці є маршрутизатор, а другий управляє компанією.

Мені потрібно / хочу надати машинам, які використовуються в цій мережі, доступ до мережі моєї компанії. Насправді, це може бути добре зробити їх частиною мого домену активного каталогу. Люди, які працюють на цих машинах, є частиною моєї компанії. АЛЕ - Мені потрібно це робити, не порушуючи безпеку мережі моєї компанії від зовнішнього впливу.

Ця ідея інтегрування маршрутизатора за допомогою зовнішнього керованого маршрутизатора є цією ідеєю

Отже, моя ідея така:

  • Ми приймаємо адресний простір IPv4, і топологія мережі в цій мережі не під нашим контролем.
  • Ми шукаємо альтернативи для інтеграції цих машин у мережу нашої компанії.

Дві концепції, які я придумав:

  • Використовуйте якусь VPN - попросіть машини увійти в VPN. Завдяки їм, що використовують сучасні вікна, це може бути прозорим DirectAccess. Це по суті стосується іншого IP-простору, не відрізняється від будь-якої мережі ресторанів, в який йде ноутбук компанії.
  • Крім того, встановіть маршрутизацію IPv6 до цього сегменту Ethernet. Але - і це хитрість - блокуйте всі пакети IPv6 в комутаторі до того, як вони потраплять на сторонній керований маршрутизатор, так що навіть якщо вони включають IPv6 на цю річ (не використовується зараз, але вони могли це зробити) вони не отримають єдиний пакет. Комутатор може це зробити, перетягуючи весь трафік IPv6, що надходить до цього порту, в окрему VLAN (на основі типу протоколу Ethernet).

Хтось бачить проблему з використанням перемикача, щоб ізолювати зовнішній від IPv6? Якийсь отвір у безпеці? Сумно, що ми маємо ставитися до цієї мережі як до ворожої - було б набагато простіше - але персонал служби підтримки має "відому сумнівну якість", і юридична сторона зрозуміла - ми не можемо виконати свої зобов'язання, інтегруючи їх у нашу компанію хоча вони під юрисдикцією, ми не можемо сказати.

security  network-design 
TomTom
джерело

Відповіді:

13

Це ситуація, з якою я стикаюся часто, і я майже завжди роблю те саме: IPSec.

Чи працює він для вас, залежить від того, чи існує перекриття IPv4 між їхньою мережею та вашою, про що ви не кажете. Але я знаю, що у вас є підказки, і якби була ця додаткова перешкода, я думаю, ви б це згадали, тож давайте припустимо, що зараз немає жодного перекриття.

Налаштуйте тунель IPSec між основним маршрутизатором і вашим, використовуючи аутентифікацію PSK. Більшість хороших маршрутизаторів будуть говорити це, і це не важко зробити. Після того, як у вас є тунель, ви можете довіряти особі будь-яких пакетів, які спускаються по ньому ( зауважте : я не кажу, що ви можете довіряти вмісту пакетів, лише ви можете бути впевнені, що вони дійсно приходять з потенційно- Ворожий партнер).

Тоді ви можете застосувати фільтри доступу до трафіку, що виходить з тунелю, і точно обмежити, які хости у вашій мережі вони мають можливість доступу, а також на які порти та з якої машини (ів) в їх кінці (хоча це останнє обмеження є менш корисні, оскільки у вас немає контролю над тим, чи пристрої в їхній мережі зловмисно змінюють IP-адреси, щоб підвищити права доступу до вашого кінця).

Зв'язок між мережами, а не будь-який випадковий довірений клієнт в кінцевому підсумку, використовує індивідуальний клієнт VPN, працює на мій досвід кращим чином, не в останню чергу тому, що ви або отримаєте повну роботу, керуючи маркерами доступу клієнтів - видаючи нові, відкликання старих, бурчання людей, що їх копіюють, або випадання помилок, що будь-який маркер можна використовувати лише один раз - або ви видасте один маркер, яким користуватимуться всі, і ви втратите будь-який контроль над тим, хто ним користується та звідки вони його використовують . Це також означає, що складність полягає в основному, де найкраще керувати.

У мене були декілька таких тунелів між моїми мережами та мережами PHP, які працюють протягом десятиліття, і вони просто роблять свою річ. Час від часу комусь потрібна нова машина на своєму кінці, яка зможе отримати доступ до якоїсь нової скриньки розробників чи іншого ресурсу з нашого кінця, і це проста зміна списку доступу до інтерфейсу, однорядкове виправлення до мого власного набору, що я можу зробити за секунди, і все працює. Не встановлюється клієнт. Ніяких ускладнень у кінцевих точках взагалі немає.

Я вважаю, що ідея v6 є захоплюючою, але я підозрюю, що вона наткнеться на скелі, коли якийсь клієнт, призначений лише для v4, або щось пронизане помилками v6, тому що він такий неперевірений, приходить і справді-дуже-дуже-дуже-будь ласка, потребує доступу до ваших мережевих ресурсів.

MadHatter
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.