เครือข่าย“ ศัตรู” ใน บริษัท - โปรดแสดงความคิดเห็นในการตั้งค่าความปลอดภัย

13

ฉันมีปัญหาเฉพาะเล็กน้อยที่นี่ที่ฉันต้องการ (ต้องการ) เพื่อแก้ไขในวิธีที่น่าพอใจ บริษัท ของฉันมีเครือข่าย (IPv4) หลายแห่งที่เราเตอร์ของเรานั่งอยู่ตรงกลาง โดยทั่วไปการตั้งค่าร้านค้าขนาดเล็ก ขณะนี้มีเครือข่ายเพิ่มเติมหนึ่งเครือข่ายที่มีช่วง IP ด้านนอกของการควบคุมของเราเชื่อมต่อกับอินเทอร์เน็ตด้วยเราเตอร์อีกตัวหนึ่งด้านนอกของการควบคุมของเรา เรียกว่าเครือข่ายโครงการที่เป็นส่วนหนึ่งของเครือข่าย บริษัท อื่นและรวมเข้าด้วยกันผ่าน VPN ที่พวกเขาตั้งค่า

หมายความว่า:

  • พวกเขาควบคุมเราเตอร์ที่ใช้สำหรับเครือข่ายนี้และ
  • พวกเขาสามารถกำหนดค่าสิ่งต่าง ๆ เพื่อให้สามารถเข้าถึงเครื่องในเครือข่ายนี้

เครือข่ายถูกแบ่งทางร่างกายในตอนท้ายของเราผ่านสวิตช์ที่สามารถใช้งานได้บาง VLAN เนื่องจากครอบคลุมสามตำแหน่ง ที่ปลายด้านหนึ่งมีเราเตอร์ที่ บริษัท อื่นควบคุม

ฉันต้องการ / ต้องการให้เครื่องที่ใช้ในเครือข่ายนี้เข้าถึงเครือข่าย บริษัท ของฉัน ในความเป็นจริงมันอาจจะดีที่จะทำให้พวกเขาเป็นส่วนหนึ่งของโดเมนไดเรกทอรีที่ใช้งานอยู่ของฉัน คนที่ทำงานกับเครื่องจักรเหล่านั้นเป็นส่วนหนึ่งของ บริษัท ของฉัน แต่ - ฉันต้องทำโดยไม่กระทบต่อความปลอดภัยของเครือข่าย บริษัท ของฉันจากอิทธิพลภายนอก

การรวมกันของเราเตอร์ประเภทใดก็ตามที่ใช้เราเตอร์ที่ควบคุมจากภายนอกนั้นเกิดจากแนวคิดนี้

ดังนั้นความคิดของฉันคือ:

  • เรายอมรับพื้นที่ที่อยู่ IPv4 และโครงสร้างเครือข่ายในเครือข่ายนี้ไม่ได้อยู่ภายใต้การควบคุมของเรา
  • เราหาทางเลือกอื่นในการรวมเครื่องจักรเหล่านั้นเข้ากับเครือข่าย บริษัท ของเรา

แนวคิด 2 ข้อที่ฉันคิดขึ้นมาคือ:

  • ใช้ VPN บางประเภท - ให้เครื่องลงชื่อเข้าใช้ VPN ต้องขอบคุณพวกเขาที่ใช้ windows ที่ทันสมัยนี่อาจเป็น DirectAccess แบบโปร่งใส สิ่งนี้ถือว่าเป็นการปฏิบัติต่อพื้นที่ IP อื่น ๆ ซึ่งไม่แตกต่างจากเครือข่ายร้านอาหารใด ๆ ที่แล็ปท็อปของ บริษัท เข้าไป
  • อีกทางหนึ่ง - สร้างการกำหนดเส้นทาง IPv6 ไปยังส่วนอีเธอร์เน็ต แต่ - และนี่คือกลลวง - ปิดกั้นแพ็กเก็ต IPv6 ทั้งหมดในสวิตช์ก่อนที่จะโจมตีเราเตอร์ที่ควบคุมโดยบุคคลที่สามดังนั้นแม้ว่าพวกเขาจะเปิด IPv6 กับสิ่งนั้น (ไม่ได้ใช้ตอนนี้ แต่พวกเขาทำได้) พวกเขาจะไม่ได้รับ แพ็คเก็ตเดียว สวิตช์สามารถทำเช่นนั้นได้โดยการดึงทราฟฟิก IPv6 ทั้งหมดที่มาที่พอร์ตนั้นลงใน VLAN แยกต่างหาก (ตามประเภทโปรโตคอลอีเธอร์เน็ต)

ใครเห็นปัญหากับการใช้เขาเปลี่ยนเพื่อแยกด้านนอกจาก IPv6? ช่องโหว่ความปลอดภัยใด ๆ เป็นเรื่องน่าเศร้าที่เราต้องปฏิบัติต่อเครือข่ายนี้ในฐานะที่เป็นมิตร - จะง่ายกว่ามาก - แต่บุคลากรสนับสนุนมี "คุณภาพที่น่าสงสัยที่รู้จัก" และด้านกฎหมายมีความชัดเจน - เราไม่สามารถปฏิบัติตามภาระผูกพันของเราเมื่อเรารวมเข้ากับ บริษัท ของเรา ในขณะที่พวกเขาอยู่ภายใต้เขตอำนาจศาลเราไม่มีการพูด

security  network-design 
TomTom
แหล่งที่มา

คำตอบ:

13

นี่เป็นสถานการณ์ที่ฉันพบเจอบ่อยครั้งและฉันก็ทำสิ่งเดียวกันเสมอ: IPSec

การทำงานให้กับคุณนั้นขึ้นอยู่กับว่ามีการซ้อนทับ IPv4 ระหว่างเครือข่ายของพวกเขากับคุณหรือไม่ซึ่งคุณไม่ได้พูด แต่ฉันรู้ว่าคุณมีเงื่อนงำและหากมีสิ่งกีดขวางเพิ่มเติมนี้ฉันคิดว่าคุณได้พูดถึงแล้วดังนั้นสมมติว่าตอนนี้ไม่มีทับซ้อนใด ๆ

ตั้งค่าอุโมงค์ IPSec ระหว่างเราเตอร์หลักและของคุณโดยใช้การรับรองความถูกต้อง PSK เราเตอร์ที่ดีส่วนใหญ่จะพูดและไม่ยากที่จะทำ เมื่อคุณมีอุโมงค์ในสถานที่คุณสามารถเชื่อถือตัวตนของแพ็กเก็ตใด ๆ ที่ลงมาได้ ( หมายเหตุ : ฉันไม่ได้บอกว่าคุณสามารถเชื่อถือเนื้อหาของแพ็กเก็ตได้เท่านั้นที่คุณมั่นใจได้ว่าพวกเขามาจากศักยภาพจริง ๆ - พันธมิตรที่เป็นมิตร)

ดังนั้นคุณสามารถใช้ตัวกรองการเข้าถึงกับทราฟฟิกที่ออกมาจากอุโมงค์และ จำกัด สิ่งที่โฮสต์ในเครือข่ายของคุณมีความสามารถในการเข้าถึงและบนพอร์ตใดและจากเครื่องใดที่ตอนท้าย (แม้ว่าข้อ จำกัด หลังนั้นคือ มีประโยชน์น้อยกว่าเพราะคุณไม่สามารถควบคุมได้ว่าอุปกรณ์ในเครือข่ายของพวกเขาจะเปลี่ยนที่อยู่ IP ของผู้ประสงค์ร้ายเพื่อยกระดับสิทธิ์การเข้าถึงของคุณหรือไม่

การเชื่อมโยงเครือข่ายแทนที่จะใช้ไคลเอนต์ที่เชื่อถือได้แบบสุ่มในตอนท้ายของพวกเขาใช้ไคลเอนต์ VPN แต่ละตัวทำงานได้ดีขึ้นในประสบการณ์ของฉันไม่น้อยเพราะคุณจะต้องจบลงด้วยการจัดการโทเค็นการเข้าถึงไคลเอนต์แบบเต็มเวลา เพิกถอนคนเก่าบ่นเกี่ยวกับคนคัดลอกพวกเขาหรือการจัดการกับผลกระทบของการบังคับว่าโทเค็นใด ๆ ที่สามารถใช้ได้เพียงครั้งเดียว - หรือคุณจะออกหนึ่งโทเค็นทุกคนที่จะใช้และคุณจะมีการสูญเสียการควบคุมใด ๆ ที่มากกว่าผู้ที่ใช้มันและ พวกเขากำลังใช้จากที่ไหน นอกจากนี้ยังหมายถึงความซับซ้อนอยู่ในแกนกลางซึ่งจัดการได้ดีที่สุด

ฉันมีอุโมงค์ดังกล่าวระหว่างเครือข่ายของฉันกับของ PHP ที่ทำงานมาสิบปีแล้วและพวกเขาก็ทำสิ่งที่พวกเขาทำ บางครั้งบางคนต้องการเครื่องใหม่ที่ปลายของพวกเขาสามารถเข้าถึงกล่อง dev ใหม่หรือทรัพยากรอื่น ๆ ในตอนท้ายของเราและมันเป็นการเปลี่ยนแปลงที่ง่ายในรายการเข้าถึงอินเตอร์เฟสการแก้ไขแบบบรรทัดเดียวเป็นชุดของฉันเองที่ฉันสามารถทำได้ ในไม่กี่วินาทีและทุกอย่างทำงานได้ ไม่มีการติดตั้งไคลเอนต์ ไม่มีจุดสิ้นสุดของภาวะแทรกซ้อนเลย

ฉันพบความคิดที่น่าสนใจ v6 แต่ฉันสงสัยว่ามันจะวิ่งไปบนก้อนหินเมื่อไคลเอนต์ v4 เท่านั้นหรือบางสิ่งที่เต็มไปด้วยข้อบกพร่อง v6 เพราะมันยังไม่ได้ทดสอบเข้ามาและต้องการการเข้าถึงที่ดีจริงๆ ทรัพยากรเครือข่ายของคุณ

MadHatter
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.