Como se simular como se estivesse localizado internamente atrás da zona de confiança de um FW

Navegue suas respostas
2

Eu trabalho em engenheiro de centro operacional de segurança em uma empresa. Nós gerenciamos muito cliente FW, proxy, etc. Um exemplo de nossos tíquetes diários poderia ser o usuário não poder acessar algum site, por isso, verificamos o proxy do cliente, ...

Durante nossa solução de problemas e como já gerenciamos todos os dispositivos, temos algumas maneiras de simular o usuário (por exemplo, em nosso exemplo, definir o proxy do cliente explicitamente e testar).

No entanto, infelizmente não pudemos simular o usuário na maioria das vezes, então não temos como ligar para o usuário impactado para um teste ao vivo (por exemplo, em nosso exemplo, se o cliente usa proxy transparente? ... ou se ele tem IPS em seu caminho ...)

Então, minha pergunta é se eu estou gerenciando todos os dispositivos, existe uma maneira de me simular como se eu estivesse localizado internamente atrás da zona de confiança do FW?!, para que eu possa solucionar todos os tickets offline!

Eu estava pensando no seguinte:

1- Abra uma regra no FW para permitir o acesso interno e, em seguida, usando técnicas de roteamento baseadas em políticas, posso encaminhar meu tráfego como se fosse gerado internamente. - O problema é como eu posso pedir ao navegador para redirecionar todo o tráfego HTTP, por exemplo, para o FW; se eu fizer isso via proxy explícito eu não fiz nada e, infelizmente, eu não posso definir uma rota no meu PC para certas portas.

2- Crie uma VPN entre meu PC e o cliente FW, e faça o tunelamento do meu tráfego http dentro da VPN. - O problema é que não tenho certeza se isso pode ser feito; Eu preciso de um cliente VPN mais avançado que o assistente de VPN do Windows, e precisa do mesmo no FW.

3- Já existe uma VPN entre o FW e o nosso servidor de gerenciamento, então eu posso iniciar qualquer tráfego do FW para o meu pc, e fazer como um backdoor atrás do FW. - O problema estará fora do curso, não consegui instalar como o ncat no meu FW?

Para mim, eu diria que a abordagem 2 é a mais aplicável, como usar o conceito de usuários remotos seguros ?! Então eu quero suas idéias e sugestões.

Qualquer ideia

    
por AOS 10.01.2013 / 23:45

1 resposta

0

  1. Isso deve ser possível com configurações de proxy do navegador, para uma porta específica no cliente FW. As regras de firewall roteiam esse tráfego para o servidor proxy / software / daemon do site do cliente, NÃO para a Web diretamente. Além disso, a regra deve limitar o acesso somente do IP do escritório, caso contrário, o cliente FW se tornará um proxy aberto.

  2. Na verdade, talvez seja a maneira mais fácil de o FW suportar o PPTP, que é suportado por muitos dispositivos de firewall. O l2tp precisará de mais obras. Essa solução depende da marca / modelo do FW no site do cliente.

  3. Com uma VPN existente entre o FW e o servidor de gerenciamento, configure uma rota estática para a rede do cliente (por meio do servidor de gerenciamento) e aponte o proxy do navegador para o IP interno do cliente FW (proxy da Web).

por 18.01.2013 / 17:54

Tags

É possível configurar o IPSec em um host de máquina virtual linux para se conectar a uma rede virtual do Azure Testando o retina.js sem exibição de retina?