«Враждебная» сеть в компании - прокомментируйте настройку безопасности

13

У меня есть небольшая конкретная проблема, которую я хочу (нужно) решить удовлетворительным образом. Моя компания имеет несколько сетей (IPv4), которые управляются нашим маршрутизатором, который находится посередине. Типичная мелкая настройка магазина. В настоящее время существует еще одна сеть, которая имеет диапазон IP вне нашего контроля, подключенный к Интернету с помощью другого маршрутизатора вне нашего контроля. Назовите это проектной сетью, которая является частью сети других компаний и объединена через VPN, который они создали.

Это означает:

  • Они контролируют маршрутизатор, который используется для этой сети и
  • Они могут переконфигурировать вещи, чтобы иметь доступ к машинам в этой сети.

Сеть физически разделена с нашей стороны через некоторые VLAN-совместимые коммутаторы, поскольку она охватывает три местоположения. На одном конце находится маршрутизатор, который контролирует другая компания.

Мне нужно / я хочу предоставить машинам, используемым в этой сети, доступ к сети моей компании. На самом деле, было бы хорошо сделать их частью моего домена активного каталога. Люди, работающие на этих машинах, являются частью моей компании. НО - мне нужно делать это без ущерба для безопасности сети моей компании от внешнего влияния.

Любой вид интеграции маршрутизатора с использованием внешнего маршрутизатора исключен этой идеей

Итак, моя идея заключается в следующем:

  • Мы принимаем адресное пространство IPv4, и топология сети в этой сети не находится под нашим контролем.
  • Мы ищем альтернативы для интеграции этих машин в сеть нашей компании.

2 концепции, которые я придумал:

  • Используйте какой-нибудь VPN - пусть машины входят в VPN. Благодаря тому, что они используют современные окна, это может быть прозрачным DirectAccess. По сути, это относится к другому IP-пространству, не отличающемуся от сети ресторанов, в которой работает ноутбук компании.
  • В качестве альтернативы - установите IPv6-маршрутизацию к этому сегменту Ethernet. Но - и это хитрость - блокируйте все пакеты IPv6 в коммутаторе до того, как они попадут на управляемый маршрутизатор стороннего производителя, так что даже если они включат IPv6 на этой вещи (не используется сейчас, но они могли бы это сделать), они не получили бы один пакет. Коммутатор может легко сделать это, перетащив весь трафик IPv6, поступающий на этот порт, в отдельную VLAN (в зависимости от типа протокола Ethernet).

Кто-нибудь видит проблему с использованием коммутатора для изоляции внешнего от IPv6? Любая дыра в безопасности? Печально, что мы должны относиться к этой сети как к враждебной - было бы намного проще, - но там есть вспомогательный персонал "известного сомнительного качества", и юридическая сторона ясна - мы не можем выполнять свои обязательства, когда интегрируем их в нашу компанию. пока они находятся под юрисдикцией, мы не имеем права голоса.

TomTom
источник

Ответы:

13

Это ситуация, с которой я часто сталкиваюсь, и я всегда делаю одно и то же: IPSec.

Работает ли это для вас, зависит от того, есть ли перекрытие IPv4 между их сетью и вашей, что вы не говорите. Но я знаю, что у вас есть подсказка, и если бы было это дополнительное препятствие, я думаю, вы бы упомянули об этом, поэтому давайте предположим, что пока нет совпадений.

Настройте туннель IPSec между их основным маршрутизатором и вашим, используя аутентификацию PSK. Об этом говорят большинство хороших роутеров, и это не сложно сделать. Как только у вас есть туннель, вы можете доверять идентификатору любых пакетов, которые приходят по нему ( примечание : я не говорю, что вы можете доверять содержимому пакетов, только вы можете быть уверены, что они действительно исходят из Потенциально- Враждебный партнер).

Таким образом, вы можете применить фильтры доступа к трафику, выходящему из туннеля, и точно ограничить, к каким узлам в вашей сети они имеют доступ, а также к каким портам и с каких компьютеров на их конце (хотя это последнее ограничение менее полезно, так как вы не можете контролировать, злонамеренно ли меняют устройства в своей сети IP-адреса, чтобы повысить свои права доступа к вашей цели).

Соединение сетей, а не случайный доверенный клиент, использующий отдельного VPN-клиента, работает лучше, по моему опыту, не в последнюю очередь потому, что вы либо получите постоянную работу по управлению токенами клиентского доступа - выпуском новых, отзывать старые, ворчать о людях, копирующих их, или иметь дело с последствиями обязательного использования любого токена только один раз - или вы выдадите один токен, который будут использовать все, и вы потеряете контроль над тем, кто его использует, и откуда они это используют . Это также означает, что сложность лежит в основе, где она лучше всего управляется.

У меня было несколько таких туннелей между моими сетями и сетями PHP, работающими в течение десятилетия, и они просто делают свое дело. Время от времени кому-то нужна новая машина со своей стороны, способная получить доступ к некоторому новому устройству разработки или другому ресурсу с нашей стороны, и это простое изменение в списке доступа к интерфейсу, однострочное исправление в моем собственном наборе, которое я могу сделать в считанные секунды, и все работает. Клиент не устанавливается. Никаких осложнений в конечной точке.

Я нахожу идею v6 увлекательной, но я подозреваю, что она обанкротится, когда какой-то клиент только для v4 или что-то изобилует ошибками v6, потому что он настолько непроверенный, приходит и очень-очень-очень-симпатичный - пожалуйста, нужен доступ к вашим сетевым ресурсам.

Безумный Шляпник
источник