Назад | Перейти на главную страницу

«Враждебная» сеть в компании - прокомментируйте настройку безопасности.

У меня здесь небольшая конкретная проблема, которую я хочу (нужно) решить удовлетворительным образом. У моей компании есть несколько сетей (IPv4), которые контролируются нашим маршрутизатором, находящимся посередине. Типичная установка небольшого магазина. Теперь есть одна дополнительная сеть, диапазон IP-адресов которой ВНЕ нашего контроля, подключенная к Интернету через другой маршрутизатор ВНЕ нашего контроля. Назовите это проектной сетью, которая является частью сети другой компании и объединена через VPN, которую они создали.

Это означает:

Они контролируют маршрутизатор, который используется в этой сети, и
Они могут перенастроить вещи, чтобы получить доступ к машинам в этой сети.

С нашей стороны сеть физически разделена через несколько коммутаторов с поддержкой VLAN, поскольку она охватывает три места. На одном конце находится маршрутизатор, которым управляет другая компания.

Мне нужно / я хочу предоставить машинам, используемым в этой сети, доступ к сети моей компании. Фактически, было бы неплохо сделать их частью моего домена активного каталога. Люди, работающие на этих машинах, являются частью моей компании. НО - мне нужно сделать это, не ставя под угрозу безопасность сети моей компании от внешнего влияния.

Эта идея исключает любую интеграцию маршрутизатора с использованием маршрутизатора с внешним управлением.

Итак, моя идея такова:

Мы принимаем адресное пространство IPv4, и топология сети в этой сети не находится под нашим контролем.
Мы ищем альтернативы для интеграции этих машин в сеть нашей компании.

Я придумал 2 концепции:

Используйте какой-нибудь VPN - пусть машины входят в VPN. Благодаря использованию современных окон это может быть прозрачным DirectAccess. По сути, это относится к другому IP-пространству так же, как и к любой ресторанной сети, в которую входит ноутбук компании.
В качестве альтернативы - установите маршрутизацию IPv6 к этому сегменту Ethernet. Но - и это уловка - заблокируйте все пакеты IPv6 в коммутаторе до того, как они попадут на управляемый сторонний маршрутизатор, так что даже если они включат IPv6 на этом устройстве (сейчас не используется, но они могут это сделать), они не получат единый пакет. Коммутатор может сделать это, перетягивая весь трафик IPv6, поступающий на этот порт, в отдельную VLAN (в зависимости от типа протокола Ethernet).

Кто-нибудь видит проблему с использованием переключателя для изоляции внешнего от IPv6? Есть дыра в безопасности? Печально, что мы должны относиться к этой сети как к враждебной - было бы намного проще - но обслуживающий персонал там «заведомо сомнительного качества», а юридическая сторона ясна - мы не сможем выполнить свои обязательства, если интегрируем их в нашу компанию пока они находятся под юрисдикцией, в которой мы не имеем права голоса.

security network-design

Это ситуация, с которой я часто сталкиваюсь, и почти всегда делаю одно и то же: IPSec.

Будет ли это работать для вас, зависит от того, есть ли перекрытие IPv4 между их сетью и вашей, о чем вы не говорите. Но я знаю, что у вас есть подсказка, и если бы было это дополнительное препятствие, я думаю, вы бы упомянули об этом, поэтому давайте предположим, что на данный момент нет никакого совпадения.

Настройте туннель IPSec между их основным маршрутизатором и вашим, используя аутентификацию PSK. Большинство хороших маршрутизаторов говорят на нем, и это не сложно. Если у вас есть туннель, вы можете доверять идентификации любых пакетов, которые проходят по нему (нота: Я не говорю, что вы можете доверять содержимому пакетов, только то, что вы можете быть уверены, что они действительно исходят от потенциально враждебного партнера).

Таким образом, вы можете применить фильтры доступа к трафику, выходящему из туннеля, и точно ограничить, к каким хостам в вашей сети они имеют доступ, и на каких портах, и с каких машин (ов) на их конце (хотя это последнее ограничение менее полезно, поскольку вы не можете контролировать, злонамеренно изменяют ли устройства в своей сети свои IP-адреса, чтобы повысить свои права доступа к вашей стороне).

По моему опыту, связывание сетей вместо того, чтобы использовать какой-либо случайный доверенный клиент на своем конце, используя отдельный VPN-клиент, работает лучше, не в последнюю очередь потому, что вы либо в конечном итоге получите постоянную работу по управлению токенами клиентского доступа - выпуску новых, отозвать старые, ворчать на людей, копирующих их, или справиться с последствиями требования, что любой токен можно использовать только один раз - или вы выпустите один токен, который будут использовать все, и вы потеряете всякий контроль над тем, кто его использует и откуда они его используют. Это также означает, что сложность заключается в ядре, где с ней лучше всего справиться.

У меня было несколько таких туннелей между моими сетями и сетями PHP, работающих в течение десяти лет, и они просто делают свое дело. Время от времени кому-то нужна новая машина на своей стороне, способная получить доступ к новому ящику разработчика или другому ресурсу на нашей стороне, и это простое изменение списка доступа к интерфейсу, однострочное исправление моего собственного набора, которое я могу сделать в секундах, и все работает. Клиент не устанавливает. Никаких проблем с конечной точкой.

Я нахожу идею v6 увлекательной, но я подозреваю, что она вылетит на скалы, когда появится какой-нибудь клиент только для v4 или что-то, пронизанное ошибками v6, потому что оно так непроверено, и действительно-очень-очень-красиво-пожалуйста, нужен доступ к вашим сетевым ресурсам.