会社の「敵対的な」ネットワーク-セキュリティ設定についてコメントしてください

13

ここには、満足できる方法で解決したい(必要な)少し具体的な問題があります。私の会社には複数の(IPv4)ネットワークがあり、それらは中央にあるルーターによって制御されています。典型的な小さな店のセットアップ。これで、制御外のIP範囲を持つ1つの追加ネットワークがあり、制御外の別のルーターでインターネットに接続されています。他社のネットワークの一部であり、セットアップしたVPNを介して結合されたプロジェクトネットワークと呼びます。

これの意味は:

  • これらは、このネットワークに使用されるルーターを制御し、
  • このネットワーク内のマシンにアクセスできるように、物事を再構成できます。

ネットワークは、3つの場所をカバーするため、一部のVLAN対応スイッチを介して物理的に分割されています。一端には、他の会社が制御するルーターがあります。

このネットワークで使用されているマシンに会社のネットワークへのアクセスを許可する必要があります。実際、それらを私のActive Directoryドメインの一部にすると良いかもしれません。それらのマシンで働く人々は私の会社の一部です。しかし、外部の影響から会社のネットワークのセキュリティを損なうことなく、そうする必要があります。

このアイデアにより、外部制御ルーターを使用したあらゆる種類のルーター統合が実現します

だから、私の考えはこれです:

  • IPv4アドレス空間を受け入れ、このネットワークのネットワークトポロジは制御されません。
  • これらのマシンを社内ネットワークに統合するための代替手段を探しています。

私が思いついた2つの概念は次のとおりです。

  • 何らかのVPNを使用する-マシンにVPNにログインさせます。最新のウィンドウを使用しているおかげで、これは透過的なDirectAccessになる可能性があります。これは基本的に、会社のラップトップが入っているレストランネットワークと変わらない他のIPスペースを扱います。
  • または、このイーサネットセグメントへのIPv6ルーティングを確立します。しかし、これはトリックです-サードパーティが制御するルーターに到達する前に、スイッチ内のすべてのIPv6パケットをブロックします。単一のパケット。スイッチは、そのポートに着信するすべてのIPv6トラフィックを(イーサネットプロトコルタイプに基づいて)別のVLANにプルすることにより、うまく処理できます。

スイッチを使用してアウターをIPv6から隔離することに問題があると誰もが考えていますか?セキュリティホールはありますか?このネットワークを敵対的として扱う必要があるのは残念です-はるかに簡単です-しかし、そこにいるサポート要員は「疑わしい品質」であり、法的側面は明確です-私たちはそれらを会社に統合するときに義務を果たすことができません彼らが管轄下にある間、私たちは発言権を持っていません。

security  network-design 
トムトム
ソース

回答:

13

これは私が頻繁に遭遇する状況であり、私はほとんど同じことをしています:IPSec。

それがあなたのために働くかどうかは、あなたのネットワークとあなたのネットワークの間にIPv4オーバーラップがあるかどうかに依存します。しかし、あなたが手掛かりを持っていることを知っています、そして、この追加のハードルがあったなら、あなたはそれを言及したと思いますので、今のところ、重複がないと仮定しましょう。

PSK認証を使用して、コアルーターとお客様のルーターの間にIPSecトンネルを設定します。ほとんどの優れたルーターはそれを話すでしょう、そしてそれは難しくありません。トンネルを配置したら、その下に来るすべてのパケットのIDを信頼できます(:パケットのコンテンツを信頼できると言っているわけではありません。敵対的なパートナー)。

そのため、トンネルから出てくるトラフィックにアクセスフィルターを適用し、ネットワーク上のどのホストにアクセスできるのか、どのポートで、どのマシンからどこにあるのかを正確に制限できます(ただし、後者の制限はネットワーク上のデバイスがIPアドレスを悪意を持って変更しているかどうかを制御できないため、アクセス権がエンドユーザーに付与されないため、あまり役に立ちません。

ランダムに信頼されるクライアントが個々のVPNクライアントを使用するのではなく、ネットワークをリンクすることは、特に、クライアントアクセストークンを管理するフルタイムのジョブになり、新しいトークンを発行するため、古いトークンを取り消す、人々をコピーすることについて不平を言う、またはすべてのトークンを一度しか使用できないようにする義務の誤りに対処する-または、誰もが使用するトークンを1つ発行すると、誰がそれを使用しているかを制御できなくなり、彼らがそれを使用している場所。また、複雑さは、管理が最適なコアにあることも意味します。

私のネットワークとPHPのネットワークとの間には、10年前からこのようなトンネルがいくつかありましたが、それらはただDo Things Thingを実行しています。時々、誰かが私たちの側にある新しい開発ボックスや他のリソースにアクセスできる新しいマシンを必要とします。それはインターフェースアクセスリストへの簡単な変更です。数秒で、すべてが機能します。クライアントはインストールされません。エンドポイントの合併症はまったくありません。

v6のアイデアは魅力的ですが、v4のみのクライアント、またはテストされていないためにv6のバグに悩まされているものが出てきて、本当に本当に本当にきれいにアクセスする必要がある場合、それが岩にぶつかるのではないかと思いますネットワークリソースに。

マッドハッター
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.