„Wroga” sieć w firmie - skomentuj konfigurację zabezpieczeń

13

Mam tutaj pewien specyficzny problem, który chcę (muszę) rozwiązać w zadowalający sposób. Moja firma ma wiele sieci (IPv4), które są kontrolowane przez router znajdujący się na środku. Typowa konfiguracja mniejszego sklepu. Istnieje teraz jedna dodatkowa sieć, która ma zakres IP POZA naszą kontrolą, połączona z Internetem z innym routerem POZA naszą kontrolą. Nazwij to siecią projektową, która jest częścią sieci innych firm i połączona przez VPN, którą skonfigurowali.

To znaczy:

  • Kontrolują router używany dla tej sieci i
  • Mogą zmieniać konfigurację, aby uzyskać dostęp do komputerów w tej sieci.

Sieć jest fizycznie podzielona na naszym końcu przez niektóre przełączniki obsługujące VLAN, ponieważ obejmuje trzy lokalizacje. Na jednym końcu znajduje się router kontrolowany przez drugą firmę.

Potrzebuję / chcę zapewnić maszynom używanym w tej sieci dostęp do sieci mojej firmy. W rzeczywistości może być dobrze, aby stały się częścią mojej domeny Active Directory. Ludzie pracujący na tych maszynach są częścią mojej firmy. ALE - muszę to zrobić bez narażania bezpieczeństwa sieci mojej firmy przed wpływami z zewnątrz.

Wszelkiego rodzaju integracja routera za pomocą zewnętrznego routera jest wykluczona z tego pomysłu

Mój pomysł jest następujący:

  • Akceptujemy przestrzeń adresową IPv4, a topologia sieci w tej sieci nie jest pod naszą kontrolą.
  • Szukamy alternatywnych rozwiązań, aby zintegrować te maszyny z siecią naszej firmy.

Wymyśliłem 2 koncepcje:

  • Użyj jakiegoś VPN - poproś maszyny o zalogowanie się do VPN. Dzięki nim za pomocą nowoczesnych okien może to być przezroczysty DirectAccess. To zasadniczo traktuje inną przestrzeń IP nie różniącą się od sieci restauracji, w której wchodzi laptop firmy.
  • Alternatywnie - ustal routing IPv6 do tego segmentu Ethernet. Ale - i jest to sztuczka - zablokuj wszystkie pakiety IPv6 w przełączniku, zanim trafią na router kontrolowany przez inną firmę, tak że nawet JEŚLI włączą IPv6 w tej sprawie (nie są teraz używane, ale mogliby to zrobić), nie dostaną pojedynczy pakiet. Przełącznik może to zrobić, wciągając cały ruch IPv6 przychodzący do tego portu do osobnej sieci VLAN (w oparciu o typ protokołu Ethernet).

Czy ktoś widzi problem z używaniem przełącznika do izolowania urządzenia zewnętrznego od IPv6? Jakaś dziura bezpieczeństwa? To smutne, że musimy traktować tę sieć jako wrogą - byłoby to o wiele łatwiejsze - ale tamtejszy personel pomocniczy ma „znaną wątpliwą jakość”, a strona prawna jest jasna - nie możemy wywiązać się z naszych zobowiązań, gdy zintegrujemy je z naszą firmą podczas gdy podlegają jurysdykcji, w której nie mamy wpływu.

TomTom
źródło

Odpowiedzi:

13

Często spotykam tę sytuację i prawie zawsze robię to samo: IPSec.

To, czy to działa, zależy od tego, czy między ich siecią a twoją występuje nakładanie się IPv4, czego nie mówisz. Ale wiem, że masz wskazówkę i jeśli byłaby to dodatkowa przeszkoda, myślę, że o niej wspominałeś, więc załóżmy na razie, że nie ma żadnego nakładania się.

Skonfiguruj tunel IPSec między routerem głównym a twoim, korzystając z uwierzytelniania PSK. Większość dobrych routerów mówi to i nie jest to trudne. Gdy masz już tunel, możesz zaufać tożsamości wszystkich pakietów, które go schodzą ( uwaga : nie mówię, że możesz ufać zawartości pakietów, tylko możesz być pewien, że tak naprawdę pochodzą z Potencjalnie- Hostile Partner).

Następnie można zastosować filtry dostępu do ruchu wychodzącego z tunelu i precyzyjnie ograniczyć hosty w sieci, do których mają one dostęp, i do jakich portów oraz z jakich maszyn na ich końcu (choć to ostatnie ograniczenie jest mniej przydatne, ponieważ nie masz kontroli nad tym, czy urządzenia w ich sieci złośliwie zmieniają adresy IP, aby podnieść swoje prawa dostępu do twojego końca).

Łączenie sieci, zamiast posiadania przypadkowego zaufanego klienta na końcu przy użyciu indywidualnego klienta VPN, działa według mnie lepiej, między innymi dlatego, że albo skończysz z pełnoetatowym zarządzaniem tokenami dostępu do klienta - wydawaniem nowych, odwoływanie starych, narzekanie na ludzi, którzy je kopiują lub uporanie się z mandatem, że dowolny token może być użyty tylko raz - lub wydasz jeden token, z którego wszyscy będą korzystać, a ty stracisz kontrolę nad tym, kto go używa i skąd go używają . Oznacza to również, że złożoność jest rdzeniem, gdzie najlepiej jest nią zarządzać.

Miałem kilka takich tuneli, między moimi sieciami a PHP, działającymi przez dekadę, a oni po prostu robią swoje. Od czasu do czasu ktoś potrzebuje nowej maszyny, która będzie mogła uzyskać dostęp do nowego urządzenia deweloperskiego lub innego zasobu po naszej stronie, i jest to prosta zmiana listy dostępu do interfejsu, jednoliniowa poprawka do mojego zestawu, którą mogę zrobić w kilka sekund i wszystko działa. Brak instalacji klienta. Bez komplikacji punktów końcowych.

Uważam pomysł v6 za fascynujący, ale podejrzewam, że trafi on na skały, gdy jakiś klient tylko dla v4 lub coś z zagadkami związanymi z błędami v6, ponieważ jest tak niesprawdzony, pojawia się i naprawdę bardzo ładnie potrzebuje dostępu do zasobów sieciowych.

Szalony Kapelusznik
źródło