Segurança sobre comutadores compartilhados

1

Nossa empresa está mudando para um novo prédio, onde todos os switches de acesso são gerenciados pela equipe de TI deste prédio, o que significa que não seremos capazes de gerenciá-los e, de alguma forma, todas as empresas em diferentes andares estarão usando a mesma rede física. Receberemos uma VLAN (quantas pessoas quisermos) para separar e isolar nossa rede de outras pessoas.

A pergunta é: como posso garantir que até mesmo a equipe de TI do prédio não consiga acessar minha VLAN? (Eles poderiam configurar qualquer porta em qualquer switch (de qualquer andar) para acessar minha VLAN e acessar toda a minha rede)

Existe alguma solução para cenários como este?

    
por Federico Vazquez 07.03.2018 / 20:29

3 respostas

2

Se você considera a rede compartilhada como "hostil" como a Internet, a VPN é uma opção bastante óbvia.

Você pode conectar os roteadores VPN com suas interfaces 'inseguras' à rede compartilhada e conectar seus clientes (ou switches privados) às interfaces 'seguras' do roteador.

Os administradores da rede compartilhada ainda poderiam interromper a comunicação, mas não conseguiriam escutar ou adulterar os dados.

Uma abordagem mais simples seria encriptar de ponta a ponta todas as conexões usando SSL (como em HTTPS), mas isso ainda exporia a comunicação "no nível do solo".

    
por 07.03.2018 / 20:48
1

Não há uma maneira realmente boa de proteger esse tipo de instalação contra a equipe de TI do edifício em quem você também não confia - não sem ter redes separadas atrás de um gateway e infraestrutura de rede correspondente que você realmente pode controlar (invalidando assim o propósito de a existência da VLAN, em primeiro lugar), que seria então conectado à VLAN, a fim de obter acesso 'internet' às redes por trás desse gateway.

Como você não pode controlar os comutadores, você não pode realmente controlar o acesso à rede. Você não pode implementar regras de bloqueio de portas adequadas, não pode implementar restrições no nível da rede e não pode desligar portas nos switches para proteger contra o acesso à VLAN.

Para realmente proteger uma rede como esta, onde você não controla a infraestrutura física que compõe a rede, a única opção seria executar sua própria rede, usando a VLAN como um túnel de 'acesso' para a Internet ou outros intervalos de rede, com outro firewall ou appliance nos bastidores conectados à sua própria rede de switches e máquinas endpoint, mantendo assim os dados contidos dentro das bordas de sua rede.

A outra opção é infelizmente semelhante - seria configurar um dispositivo de gateway seguro executando uma VPN configurada corretamente na VLAN que, por sua vez, tem tudo o que está por trás dela, exceto computadores endpoint. Os computadores de terminal, em seguida, precisam se conectar via VPN à caixa 'gateway' e, em seguida, eles teriam acesso aos dispositivos e às informações que você deseja proteger.  A partir daí, dependendo da sub-rede, autenticação do usuário, etc., você pode configurar o acesso a dispositivos dentro da sua 'esfera de controle' por trás desse dispositivo de gateway (seja uma caixa Cisco ASA ou pfSense ou outro tipo de dispositivo). você decide). No entanto, isso ainda exige que você tenha uma 'segunda' rede interna que armazene os dados que deseja proteger e apenas trate a VLAN do edifício como a conexão 'Externa' ou WAN com o dispositivo de gateway para esses fins.

    
por 07.03.2018 / 20:41
0

Você pode usar um roteador padrão para isolar sua rede local do prédio. Apenas trate o prédio como a internet. Por exemplo, você pode usar um roteador WiFi, conecte a porta WAN ao switch que está no seu andar. A equipe de TI deve fornecer os dados de conexão padrão, como IP / Mask / Gateway. O problema é que você não pode usar a rede física do edifício na sua área de funcionários, você deve ter seus próprios cabos ou usar o WiFi (que vai para o seu roteador).

    
por 07.03.2018 / 20:57

Tags