Rede “hostil” na empresa - por favor, comente sobre uma configuração de segurança

13

Eu tenho um pequeno problema específico aqui que eu quero (preciso) resolver de maneira satisfatória. Minha empresa tem várias redes (IPv4) que são controladas pelo nosso roteador no meio. Configuração típica de loja menor. Existe agora uma rede adicional que tem um alcance IP fora do nosso controle, conectado à internet com outro roteador fora do nosso controle. Chame isso de uma rede de projetos que faz parte de outra rede de empresas e combinada via VPN configurada.

Isso significa:

  • Eles controlam o roteador usado para essa rede e
  • Eles podem reconfigurar as coisas para que possam acessar as máquinas nessa rede.

A rede está fisicamente dividida em nosso final por meio de alguns comutadores habilitados para VLAN, pois abrange três locais. Em uma extremidade, há o roteador que a outra empresa controla.

Eu preciso / quero dar às máquinas usadas neste acesso de rede à rede da minha empresa. Na verdade, pode ser bom torná-los parte do meu domínio de diretório ativo. As pessoas que trabalham nessas máquinas fazem parte da minha empresa. MAS - Eu preciso fazer isso sem comprometer a segurança da rede da minha empresa de influência externa.

Qualquer tipo de integração de roteador usando o roteador controlado externamente está fora desta ideia

Então, minha ideia é esta:

  • Aceitamos o espaço de endereçamento IPv4 e a topologia de rede nessa rede não está sob nosso controle.
  • Buscamos alternativas para integrar essas máquinas à rede de nossa empresa.

Os dois conceitos que eu criei são:

  • Use algum tipo de VPN - faça com que as máquinas façam login na VPN. Graças a eles usando janelas modernas, isso poderia ser o DirectAccess transparente. Isso essencialmente trata o outro espaço de IP não diferente de qualquer rede de restaurantes na qual um laptop da empresa entra.
  • Como alternativa, estabeleça o roteamento IPv6 para esse segmento de ethernet. Mas - e isso é um truque - bloquear todos os pacotes IPv6 no switch antes que eles atinjam o roteador controlado por terceiros, para que, mesmo se eles ligarem o IPv6 nessa coisa (não usados agora, mas pudessem fazê-lo), não conseguiriam um único pacote. O switch pode fazer isso puxando todo o tráfego IPv6 para essa porta em uma VLAN separada (com base no tipo de protocolo Ethernet).

Alguém vê um problema em usar ele mudar para isolar o exterior do IPv6? Qualquer buraco de segurança? É triste ter que tratar esta rede como hostil - seria muito mais fácil - mas o pessoal de apoio lá é de "qualidade duvidosa conhecida" e o lado legal é claro - não podemos cumprir nossas obrigações quando as integramos em nossa empresa enquanto eles estão sob uma jurisdição, não temos nada a dizer.

    
por TomTom 31.10.2013 / 07:34

1 resposta

13

Essa é uma situação em que eu me deparo com frequência, e praticamente sempre faço a mesma coisa: IPSec.

Se funciona para você, depende se há uma sobreposição de IPv4 entre a rede deles e a sua, o que você não diz. Mas eu sei que você tem idéia, e se houvesse esse obstáculo adicional, eu acho que você teria mencionado isso, então vamos supor, por enquanto, que não haja nenhuma sobreposição.

Configure um túnel IPSec entre o roteador principal e o seu, usando a autenticação PSK. A maioria dos roteadores bons fala e não é difícil de fazer. Uma vez que você tenha um túnel no lugar, você pode confiar na identidade de qualquer pacote que venha abaixo ( nota : eu não estou dizendo que você pode confiar no conteúdo dos pacotes, só que você pode ter certeza eles realmente vêm do parceiro potencialmente hostil).

Então você pode aplicar filtros de acesso ao tráfego saindo do túnel, e restringir precisamente quais hosts em sua rede eles têm a capacidade de acessar, e em quais portas, e de qual (is) máquinas (s) no seu final a última restrição é menos útil, já que você não tem controle sobre se os dispositivos em suas redes estão alterando maliciosamente os endereços IP para elevar seus direitos de acesso ao seu fim).

Vincular as redes, em vez de ter qualquer cliente confiável aleatório ao seu final usar um cliente VPN individual, funciona melhor na minha experiência, até porque você acabará com um trabalho em tempo integral gerenciando tokens de acesso do cliente - emitindo os novos, revogando os antigos, resmungando sobre as pessoas copiá-los ou lidando com as conseqüências da obrigatoriedade de que qualquer token só pode ser usado uma vez - ou você emitirá um token que todos usarão e você perderá o controle sobre quem usando e onde eles estão usando de . Isso também significa que a complexidade está no núcleo, onde é melhor gerenciado.

Eu tive alguns desses túneis, entre as minhas redes e os dos PHPs, rodando por uma década, e eles apenas fazem suas coisas. De tempos em tempos, alguém precisa de uma nova máquina capaz de acessar alguma nova caixa ou outro recurso do nosso lado, e é uma simples mudança para uma lista de acesso à interface, uma correção de uma linha para o meu próprio kit que eu posso fazer em segundos, e tudo está funcionando. Nenhum cliente instala. Nenhuma complicação no endpoint.

Eu acho a idéia da V6 fascinante, mas eu suspeito que ela irá correr sobre as rochas quando algum cliente somente v4, ou algo cheio de erros v6 porque é tão não testado, aparecer e realmente-realmente-muito-bonito- por favor, precisa de acesso aos recursos da sua rede.

    
por 31.10.2013 / 08:52