Şirketteki “düşmanca” ağ - lütfen bir güvenlik kurulumu hakkında yorum yapın

Burada tatmin edici bir şekilde çözmek istediğim (ihtiyacım) küçük bir sorunum var. Şirketimin ortasında oturan yönlendiricimiz tarafından kontrol edilen birden çok (IPv4) ağ var. Tipik daha küçük mağaza kurulumu. Artık kontrolümüzün DIŞINDA IP Aralığı olan, kontrolümüzün DIŞINDA başka bir yönlendirici ile internete bağlı olan bir ek ağ var. Buna başka bir şirket ağının parçası olan ve kurdukları VPN üzerinden birleştirilmiş bir proje ağı deyin.

Bu şu anlama gelir:

• Bu ağ için kullanılan yönlendiriciyi kontrol ederler ve
• Bu ağdaki makinelere erişebilmeleri için işleri yeniden yapılandırabilirler.

Ağ, üç konumu kapsadığı için bazı VLAN özellikli anahtarlar aracılığıyla fiziksel olarak sonlandırılmıştır. Bir ucunda diğer şirketin kontrol ettiği yönlendirici var.

Bu ağda kullanılan makinelerin şirket ağıma erişmesini istiyorum / istiyorum. Aslında, onları aktif dizin alanımın bir parçası haline getirmek iyi olabilir. Bu makinelerde çalışan insanlar şirketimin bir parçası. AMA - Şirket ağımın güvenliğini dış etkilerden ödün vermeden yapmam gerekiyor.

Harici olarak kontrol edilen yönlendiriciyi kullanan her türlü yönlendirici entegrasyonu bu fikirden kaynaklanır

Benim fikrim şudur:

• IPv4 adres alanını kabul ediyoruz ve bu ağdaki ağ topolojisi bizim kontrolümüz altında değil.
• Bu makineleri şirket ağımıza entegre etmek için alternatifler arıyoruz.

Geldiğim 2 kavram:

• Bir çeşit VPN kullanın - makinelerin VPN'de oturum açmasını sağlayın. Modern pencereler kullandıkları için şeffaf DirectAccess olabilir. Bu aslında diğer IP alanını, şirketin bir dizüstü bilgisayarının girdiği herhangi bir restoran ağından farklı değildir.
• Alternatif olarak - bu ethernet segmentine IPv6 yönlendirmesi oluşturun. Ancak - ve bu bir hile - üçüncü taraf kontrollü yönlendiriciye çarpmadan önce anahtardaki tüm IPv6 paketlerini engelleyin, böylece IPv6'yı bu şeyde açsalar bile (şimdi kullanılmazlar, ancak yapabilirlerdi) tek bir paket. Anahtar, bu bağlantı noktasına gelen tüm IPv6 trafiğini ayrı bir VLAN'a (ethernet protokolü türüne göre) çekerek bunu yapabilir.

Herkes IPv6 dış izole etmek için o anahtarı kullanarak bir sorun görür? Herhangi bir güvenlik açığı var mı? Bu ağa düşmanca davranmamız çok üzücü - çok daha kolay olurdu - ama destek personeli "bilinen şüpheli kalite" ve yasal tarafı açık - yükümlülükleri şirketimize entegre ettiğimizde yerine getiremiyoruz yetki altındayken söz hakkımız yok.

Bu sık karşılaştığım bir durum ve hemen hemen aynı şeyi yapıyorum: IPSec.

Sizin için işe yarayıp yaramayacağı, sizin ağınızla sizinki arasında bir IPv4 çakışması olup olmadığına bağlıdır. Ama ipucun olduğunu biliyorum, ve eğer bu ek bir engel olsaydı, bahsettiğini düşünüyorum, bu yüzden şimdilik herhangi bir çakışma olmadığını varsayalım.

PSK kimlik doğrulamasını kullanarak çekirdek yönlendiricileri ile sizinki arasında bir IPSec tüneli kurun. Çoğu iyi yönlendirici bunu söyleyecektir ve bunu yapmak zor değildir. Bir tünel yerleştirdikten sonra, aşağıya inen paketlerin kimliğine güvenebilirsiniz ( not : Paketlerin içeriğine güvenebileceğinizi söyleyemiyorum, sadece potansiyel olarak gerçekten geldiklerinden emin olabilirsiniz- Düşman Ortak).

Böylece, tünelden çıkan trafiğe erişim filtreleri uygulayabilir ve ağınızdaki hangi ana bilgisayarların erişebildiklerini ve hangi bağlantı noktalarında ve sonunda hangi makineden / makinelerde kesin olarak kısıtlayabilirsiniz (bu son kısıtlama ağlarındaki cihazların IP adreslerini kötü amaçlı olarak değiştirip değiştirmediği konusunda kontrolünüz olmadığı için IP adreslerini erişiminize yükseltmek için).

Ağları bağlamak, sonunda rastgele güvenilen herhangi bir istemcinin bireysel bir VPN istemcisi kullanması yerine, deneyimimde daha iyi çalışır, en azından istemci erişim belirteçlerini yöneten tam zamanlı bir işle sonuçlanacağınız için yenilerini, eski olanları iptal etmek, kopyalayan insanlar hakkında homurdanmak veya herhangi bir tokenin sadece bir kez kullanılabileceğini iddia etmekle uğraşmakla uğraşmak - ya da herkesin kullanacağı bir jeton yayınlayacaksınız ve onu kimin kullandığını kontrol edeceksiniz ve nereden kullanıyorlar . Ayrıca, karmaşıklığın en iyi yönetildiği yerde olduğu anlamına gelir.

On yıl boyunca ağlarım ve PHP'ler arasında böyle tüneller yaşadım ve sadece işlerini yapıyorlar. Zaman zaman birisinin sonunda yeni bir geliştirici kutusuna veya başka bir kaynağa erişebilmemiz için yeni bir makineye ihtiyacı vardır ve bu bir arayüz erişim listesinde basit bir değişikliktir, kendi kitime yapabileceğim tek satırlık bir düzeltme saniyeler içinde ve her şey çalışıyor. İstemci yüklemesi yok. Hiç uç nokta komplikasyonu yok.

V6 fikrini büyüleyici buluyorum, ancak sadece v4'lü bir müşteri veya v6 hatalarıyla dolu bir şey olduğunda kayaların üzerine çıkacağından şüpheleniyorum çünkü çok test edilmemiş, ortaya çıkıyor ve gerçekten-gerçekten-çok hoş-lütfen erişim ihtiyacı var ağ kaynaklarınıza.