"Hostile" jaringan di perusahaan - silakan mengomentari pengaturan keamanan

13

Saya punya sedikit masalah khusus di sini yang ingin saya pecahkan dengan cara yang memuaskan. Perusahaan saya memiliki beberapa jaringan (IPv4) yang dikendalikan oleh router kami yang berada di tengah. Setup toko kecil yang tipikal. Sekarang ada satu jaringan tambahan yang memiliki Kisaran IP DI LUAR kendali kami, terhubung ke internet dengan router lain DI LUAR kendali kami. Sebut saja jaringan proyek yang merupakan bagian dari jaringan perusahaan lain dan digabungkan melalui VPN yang mereka atur.

Ini berarti:

  • Mereka mengontrol router yang digunakan untuk jaringan ini dan
  • Mereka dapat mengkonfigurasi ulang hal-hal sehingga mereka dapat mengakses mesin di jaringan ini.

Jaringan secara fisik dibagi pada kami melalui beberapa switch yang mampu VLAN karena mencakup tiga lokasi. Di satu ujung ada router kontrol perusahaan lain.

Saya Perlu / ingin memberi mesin yang digunakan dalam jaringan ini akses ke jaringan perusahaan saya. Bahkan, mungkin baik untuk menjadikan mereka bagian dari domain direktori aktif saya. Orang-orang yang mengerjakan mesin itu adalah bagian dari perusahaan saya. TETAPI - Saya perlu melakukannya tanpa mengorbankan keamanan jaringan perusahaan saya dari pengaruh luar.

Segala jenis integrasi router menggunakan router yang dikendalikan secara eksternal tidak sesuai dengan ide ini

Jadi, ide saya adalah ini:

  • Kami menerima ruang alamat IPv4 dan topologi jaringan di jaringan ini tidak di bawah kendali kami.
  • Kami mencari alternatif untuk mengintegrasikan mesin-mesin itu ke jaringan perusahaan kami.

2 konsep yang saya buat adalah:

  • Gunakan semacam VPN - mintalah mesin untuk masuk ke VPN. Berkat mereka menggunakan windows modern, ini bisa menjadi DirectAccess transparan. Ini pada dasarnya memperlakukan ruang IP lain yang tidak berbeda dari jaringan restoran tempat laptop perusahaan masuk.
  • Atau - buat IPv6 routing ke segmen ethernet ini. Tapi - dan ini adalah trik - blok semua paket IPv6 di switch sebelum mereka menekan router pihak ketiga yang dikendalikan, sehingga bahkan jika mereka menghidupkan IPv6 pada benda itu (tidak digunakan sekarang, tetapi mereka bisa melakukannya) mereka tidak akan mendapatkan satu paket. Switch dengan baik dapat melakukannya dengan menarik semua lalu lintas IPv6 yang datang ke port tersebut ke VLAN terpisah (berdasarkan pada jenis protokol ethernet).

Adakah yang melihat masalah dengan menggunakan dia beralih untuk mengisolasi bagian luar dari IPv6? Ada lubang keamanan? Sangat menyedihkan kita harus memperlakukan jaringan ini sebagai musuh - akan jauh lebih mudah - tetapi personel pendukung ada "kualitas meragukan yang diketahui" dan sisi hukumnya jelas - kita tidak dapat memenuhi kewajiban kita ketika kita mengintegrasikannya ke dalam perusahaan kita sementara mereka berada di bawah yurisdiksi kami tidak memiliki suara dalam.

TomTom
sumber

Jawaban:

13

Ini adalah situasi yang sering saya alami, dan saya selalu melakukan hal yang sama: IPSec.

Apakah itu berfungsi untuk Anda tergantung pada apakah ada IPv4 yang tumpang tindih antara jaringan mereka dan Anda, yang tidak Anda katakan. Tetapi saya tahu Anda memiliki petunjuk, dan jika ada rintangan tambahan ini, saya pikir Anda telah menyebutkannya, jadi mari kita asumsikan sekarang bahwa tidak ada tumpang tindih.

Siapkan terowongan IPSec antara router inti mereka dan milik Anda, menggunakan otentikasi PSK. Sebagian besar router yang baik akan mengucapkannya, dan itu tidak sulit untuk dilakukan. Setelah Anda memiliki terowongan di tempat, Anda dapat mempercayai identitas dari setiap paket yang turun itu ( catatan : Saya tidak mengatakan Anda dapat mempercayai konten dari paket, hanya bahwa Anda dapat yakin mereka benar-benar berasal dari Potensi- Mitra yang bermusuhan).

Jadi, Anda dapat menerapkan filter akses untuk lalu lintas yang keluar dari terowongan, dan dengan tepat membatasi host apa di jaringan Anda yang dapat diaksesnya, dan pada port apa, dan dari mesin mana pada ujungnya (meskipun pembatasan yang terakhir adalah kurang bermanfaat karena Anda tidak memiliki kendali atas apakah perangkat di jaringan mereka secara jahat mengubah alamat IP mereka untuk meningkatkan hak akses mereka ke tujuan Anda).

Menghubungkan jaringan, daripada memiliki klien tepercaya acak pada akhirnya menggunakan klien VPN individual, bekerja lebih baik dalam pengalaman saya, paling tidak karena Anda akan berakhir dengan pekerjaan penuh waktu mengelola token akses klien - mengeluarkan yang baru, mencabut yang lama, menggerutu tentang orang yang menyalinnya atau berurusan dengan mandat yang gagal bahwa token apa pun hanya dapat digunakan sekali - atau Anda akan mengeluarkan satu token yang akan digunakan semua orang, dan Anda akan kehilangan kendali atas siapa yang menggunakannya dan dari mana mereka menggunakannya . Ini juga berarti bahwa kompleksitasnya ada di inti, di mana ia dikelola dengan baik.

Saya memiliki beberapa terowongan seperti itu, antara jaringan saya dan orang-orang dari PHP, berjalan selama satu dekade, dan mereka hanya Melakukan Hal Mereka. Dari waktu ke waktu seseorang membutuhkan mesin baru di ujungnya untuk dapat mengakses beberapa kotak dev baru atau sumber daya lain di ujung kita, dan itu adalah perubahan sederhana ke daftar akses antarmuka, perbaikan satu baris ke kit saya sendiri yang dapat saya lakukan dalam hitungan detik, dan semuanya berfungsi. Tidak ada klien yang memasang. Tidak ada komplikasi titik akhir sama sekali.

Saya menemukan ide v6 menarik, tetapi saya menduga itu akan berjalan ke batu ketika beberapa klien v4 saja, atau sesuatu yang penuh dengan bug v6 karena begitu belum teruji, datang dan benar-benar-sangat-sangat-sangat-harap perlu akses ke sumber daya jaringan Anda.

MadHatter
sumber