Mạng máy chủ lưu trữ trong mạng của công ty - vui lòng nhận xét về thiết lập bảo mật

13

Tôi có một vấn đề cụ thể ở đây mà tôi muốn (cần) giải quyết một cách thỏa đáng. Công ty của tôi có nhiều mạng (IPv4) được điều khiển bởi bộ định tuyến của chúng tôi ở giữa. Thiết lập cửa hàng nhỏ hơn điển hình. Hiện tại có một mạng bổ sung có phạm vi điều khiển BÊN NGOÀI IP của chúng tôi, được kết nối với internet bằng một bộ định tuyến NGOÀI TRỜI khác trong tầm kiểm soát của chúng tôi. Gọi nó là mạng dự án là một phần của mạng công ty khác và được kết hợp thông qua VPN mà họ thiết lập.

Điều này có nghĩa là:

  • Họ điều khiển bộ định tuyến được sử dụng cho mạng này và
  • Họ có thể cấu hình lại mọi thứ để có thể truy cập vào các máy trong mạng này.

Mạng được phân chia vật lý ở đầu của chúng tôi thông qua một số thiết bị chuyển mạch có khả năng Vlan vì nó bao gồm ba vị trí. Ở một đầu có bộ định tuyến mà công ty kia điều khiển.

Tôi cần / muốn cho các máy được sử dụng trong mạng này truy cập vào mạng công ty của tôi. Trong thực tế, có thể tốt để biến chúng thành một phần của miền thư mục hoạt động của tôi. Những người làm việc trên các máy đó là một phần của công ty tôi. NHƯNG - Tôi cần phải làm như vậy mà không ảnh hưởng đến bảo mật của mạng công ty của tôi khỏi ảnh hưởng bên ngoài.

Bất kỳ loại tích hợp bộ định tuyến nào sử dụng bộ định tuyến được kiểm soát bên ngoài đều bị loại bỏ bởi ý tưởng này

Vì vậy, ý tưởng của tôi là thế này:

  • Chúng tôi chấp nhận không gian địa chỉ IPv4 và cấu trúc liên kết mạng trong mạng này không thuộc quyền kiểm soát của chúng tôi.
  • Chúng tôi tìm kiếm giải pháp thay thế để tích hợp các máy đó vào mạng công ty của chúng tôi.

Hai khái niệm tôi đã đưa ra là:

  • Sử dụng một số loại VPN - để máy đăng nhập vào VPN. Nhờ họ sử dụng các cửa sổ hiện đại, đây có thể là DirectAccess trong suốt. Điều này về cơ bản xử lý không gian IP khác không khác với bất kỳ mạng nhà hàng nào mà máy tính xách tay của công ty đi vào.
  • Hoặc - thiết lập định tuyến IPv6 đến phân đoạn ethernet này. Nhưng - và đây là một mẹo - chặn tất cả các gói IPv6 trong chuyển đổi trước khi chúng chạm vào bộ định tuyến do bên thứ ba kiểm soát, do đó ngay cả khi chúng bật IPv6 trên thứ đó (không được sử dụng ngay bây giờ, nhưng chúng có thể làm được) một gói duy nhất. Công tắc có thể thực hiện điều đó một cách độc đáo bằng cách kéo tất cả lưu lượng IPv6 đến cổng đó vào một Vlan riêng (dựa trên loại giao thức ethernet).

Bất cứ ai cũng thấy một vấn đề với việc sử dụng anh ta chuyển sang cách ly bên ngoài với IPv6? Bất kỳ lỗ hổng bảo mật? Thật đáng buồn khi chúng ta phải coi mạng này là thù địch - sẽ dễ dàng hơn rất nhiều - nhưng nhân viên hỗ trợ có "chất lượng đáng ngờ" và mặt pháp lý rõ ràng - chúng tôi không thể thực hiện nghĩa vụ của mình khi chúng tôi tích hợp chúng vào công ty của mình trong khi họ thuộc thẩm quyền, chúng tôi không có tiếng nói.

security  network-design 
TomTom
nguồn

Câu trả lời:

13

Đây là một tình huống tôi gặp phải thường xuyên và tôi luôn luôn làm điều tương tự: IPSec.

Việc nó có hiệu quả với bạn hay không phụ thuộc vào việc có sự trùng lặp giữa IPv4 giữa mạng của họ và mạng của bạn hay không. Nhưng tôi biết bạn có manh mối, và nếu có thêm rào cản này tôi nghĩ bạn đã đề cập đến nó, vì vậy hãy giả sử bây giờ rằng không có bất kỳ sự chồng chéo nào.

Thiết lập đường hầm IPSec giữa bộ định tuyến lõi của họ và của bạn, sử dụng xác thực PSK. Hầu hết các bộ định tuyến tốt sẽ nói điều đó và không khó để làm điều đó. Khi bạn có một đường hầm tại chỗ, bạn có thể tin tưởng vào danh tính của bất kỳ gói nào đi xuống ( lưu ý : Tôi không nói rằng bạn có thể tin tưởng vào nội dung của các gói, chỉ có điều bạn có thể chắc chắn rằng chúng thực sự đến từ Tiềm năng- Đối tác thù địch).

Vì vậy, sau đó bạn có thể áp dụng các bộ lọc truy cập cho lưu lượng truy cập ra khỏi đường hầm và hạn chế chính xác những máy chủ nào trên mạng của bạn mà họ có khả năng truy cập và trên các cổng nào và từ máy nào ở cuối (mặc dù hạn chế sau là ít hữu ích hơn vì bạn không kiểm soát được liệu các thiết bị trên mạng của họ có thay đổi địa chỉ IP độc hại để nâng cao quyền truy cập của họ đối với bạn hay không).

Liên kết các mạng, thay vì có bất kỳ ứng dụng khách đáng tin cậy ngẫu nhiên nào ở cuối sử dụng một máy khách VPN riêng lẻ, hoạt động tốt hơn theo kinh nghiệm của tôi, nhất là vì bạn sẽ kết thúc với một mã thông báo truy cập khách hàng toàn thời gian - phát hành mã mới, thu hồi những cái cũ, càu nhàu về việc mọi người sao chép chúng hoặc xử lý sự cố bắt buộc rằng mọi mã thông báo chỉ có thể được sử dụng một lần - hoặc bạn sẽ phát hành một mã thông báo mà mọi người sẽ sử dụng và bạn sẽ mất quyền kiểm soát đối với những người sử dụng nó và họ đang sử dụng nó từ đâu Điều đó cũng có nghĩa là sự phức tạp nằm trong cốt lõi, nơi nó được quản lý tốt nhất.

Tôi đã có một số đường hầm như vậy, giữa các mạng của tôi và các PHP, hoạt động trong một thập kỷ và chúng chỉ thực hiện. Thỉnh thoảng ai đó cần một máy mới ở đầu của họ có thể truy cập vào một hộp dev mới hoặc tài nguyên khác ở đầu của chúng tôi và đó là một thay đổi đơn giản cho danh sách truy cập giao diện, sửa lỗi một dòng cho bộ công cụ của riêng tôi mà tôi có thể làm trong vài giây, và mọi thứ đang hoạt động. Không có khách hàng cài đặt. Không có biến chứng điểm cuối nào cả.

Tôi thấy ý tưởng v6 rất hấp dẫn, nhưng tôi nghi ngờ rằng nó sẽ chạy trên đá khi một số khách hàng chỉ sử dụng v4, hoặc một cái gì đó bị lỗi v6 bởi vì nó chưa được kiểm chứng, xuất hiện và thực sự rất đẹp thực sự cần được truy cập để tài nguyên mạng của bạn.

MadHatter
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.