公司中的“敌对”网络-请对安全设置发表评论


13

我在这里有一个特定的问题,希望(需要)以令人满意的方式解决。我公司有多个(IPv4)网络,这些网络由位于中间的路由器控制。典型的小型商店设置。现在,有另外一个网络具有我们控制的IP范围外,并通过我们控制的另一路由器连接到Internet。将该项目网络称为另一个公司网络的一部分,并通过他们建立的VPN进行组合。

这表示:

  • 它们控制用于该网络的路由器,并且
  • 他们可以重新配置事物,以便他们可以访问此网络中的计算机。

该网络实际上通过一些支持VLAN的交换机在我们端进行了拆分,因为它覆盖了三个位置。一端有另一家公司控制的路由器。

我需要/希望将此网络中使用的计算机访问我的公司网络。实际上,使它们成为我的活动目录域的一部分可能会很好。这些机器上的工作人员是我公司的一部分。但是-我需要做到这一点,而又不会影响公司网络的安全性。

这种想法无法使用外部控制的路由器进行任何形式的路由器集成

所以,我的想法是这样的:

  • 我们接受IPv4地址空间,并且该网络中的网络拓扑不受我们的控制。
  • 我们寻求将这些机器集成到我们公司网络中的替代方法。

我提出的2个概念是:

  • 使用某种VPN-让机器登录到VPN。多亏了他们使用现代的窗户,这可以是透明的DirectAccess。从本质上讲,这对待其他IP空间与该公司的便携式计算机进入的任何餐厅网络没有区别。
  • 或者-建立到该以太网段的IPv6路由。但是-这是一个窍门-在交换机中所有IPv6数据包到达第三方控制的路由器之前就将其阻止,这样,即使它们在该设备上打开了IPv6(现在不使用,但他们可以这样做),他们也不会一个数据包。交换机可以通过将所有到达该端口的IPv6流量拉入一个单独的VLAN(基于以太网协议类型)来很好地做到这一点。

有人看到使用他的交换机将外部与IPv6隔离的问题吗?有安全孔吗?令人遗憾的是,我们不得不将此网络视为敌对的-会容易得多-但是那里的支持人员具有“已知的可疑质量”,法律方面也很明确-将它们整合到公司中时我们无法履行义务他们在管辖范围内时,我们没有发言权。

Answers:


13

我经常遇到这种情况,而且我几乎总是做同样的事情:IPSec。

是否为您服务取决于他们的网络与您的网络之间是否存在IPv4重叠,您不必说。但是我知道您有线索,如果还有其他障碍,我想您已经提到了,所以现在让我们假设没有任何重叠。

使用PSK身份验证在其核心路由器和您的核心路由器之间建立IPSec隧道。大多数优秀的路由器都会说出来,这并不难。一旦建立了隧道,您就可以信任掉落在其上的任何数据包的身份(注意:我并不是说您可以信任数据包的内容,只是可以确保它们确实来自潜在地-敌对伙伴)。

因此,您可以将访问过滤器应用于来自隧道的流量,并精确地限制网络上它们具有访问能力的主机,端口上的主机以及终端上的哪些计算机(尽管后面的限制是因为您无法控制其网络上的设备是否正在恶意更改其IP地址以将其访问权限提升到您的终端,所以该命令的用处不大。

根据我的经验,链接网络而不是在网络的末端使用任何单独的VPN客户端,而不是随机信任的客户端,这样做的效果更好,尤其是因为您要么全职从事管理客户端访问令牌的工作-发行新的令牌,废除旧的令牌,抱怨人们复制它们或处理强制所有令牌只能使用一次的后果-否则您将发行一个每个人都将使用的令牌,而您将失去对谁使用令牌的控制,并且他们在哪里使用它。这也意味着复杂性处于核心,可以对其进行最佳管理。

我在网络和PHP之间建立了这样的隧道,运行了十年,而它们只是在做自己的事情。有时,某人最终需要一台新机器来访问我们这一端的一些新开发箱或其他资源,这是对接口访问列表的简单更改,是我可以自己做的套件的单行修复程序在几秒钟内,一切都正常。没有安装客户端。完全没有终点并发症。

我发现v6的想法很有趣,但是我怀疑当某些仅v4的客户端,或者由于未经测试的v6错误充斥着某些东西,并且真的需要使用时,它会碰到石头。您的网络资源。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.