Red "hostil" en la empresa: comente sobre una configuración de seguridad

13

Tengo un pequeño problema específico aquí que quiero (necesito) resolver de manera satisfactoria. Mi empresa tiene varias redes (IPv4) controladas por nuestro enrutador que se encuentra en el medio. Configuración típica de tienda más pequeña. Ahora hay una red adicional que tiene un rango de IP FUERA de nuestro control, conectado a Internet con otro enrutador FUERA de nuestro control. Llámelo una red de proyecto que es parte de la red de otra compañía y combinada a través de VPN que configuraron.

Esto significa:

  • Controlan el enrutador que se utiliza para esta red y
  • Pueden reconfigurar cosas para poder acceder a las máquinas en esta red.

La red se divide físicamente en nuestro extremo a través de algunos conmutadores con capacidad VLAN, ya que cubre tres ubicaciones. En un extremo está el enrutador que controla la otra compañía.

Necesito / deseo dar acceso a las máquinas utilizadas en esta red a la red de mi empresa. De hecho, puede ser bueno hacerlos parte de mi dominio de directorio activo. Las personas que trabajan en esas máquinas son parte de mi empresa. PERO: necesito hacerlo sin comprometer la seguridad de la red de mi empresa de la influencia externa.

Esta idea excluye cualquier tipo de integración de enrutadores que use el enrutador controlado externamente

Entonces, mi idea es esta:

  • Aceptamos el espacio de direcciones IPv4 y la topología de red en esta red no está bajo nuestro control.
  • Buscamos alternativas para integrar esas máquinas en la red de nuestra empresa.

Los 2 conceptos que se me ocurrieron son:

  • Use algún tipo de VPN: haga que las máquinas inicien sesión en VPN. Gracias a que usan ventanas modernas, esto podría ser DirectAccess transparente. Básicamente, esto trata el otro espacio de IP que no es diferente de cualquier red de restaurantes en la que entra una computadora portátil de la compañía.
  • Alternativamente, establezca el enrutamiento IPv6 a este segmento de Ethernet. Pero, y esto es un truco, bloquee todos los paquetes de IPv6 en el conmutador antes de que lleguen al enrutador controlado por terceros, de modo que incluso si activan IPv6 en esa cosa (no se usa ahora, pero podrían hacerlo) no obtendrían Un solo paquete. El conmutador puede hacerlo muy bien al extraer todo el tráfico IPv6 que llega a ese puerto a una VLAN separada (basada en el tipo de protocolo ethernet).

¿Alguien ve un problema con el uso del interruptor para aislar el exterior de IPv6? Cualquier agujero de seguridad? Es triste que tengamos que tratar esta red como hostil, sería mucho más fácil, pero el personal de soporte allí es de "calidad dudosa conocida" y el aspecto legal es claro: no podemos cumplir nuestras obligaciones cuando los integramos en nuestra empresa mientras están bajo una jurisdicción en la que no tenemos voz.

security  network-design 
TomTom
fuente

Respuestas:

13

Esta es una situación con la que me encuentro a menudo, y casi siempre hago lo mismo: IPSec.

Si funciona para usted depende de si hay una superposición de IPv4 entre su red y la suya, lo cual no dice. Pero sé que tienes idea, y si hubiera este obstáculo adicional, creo que lo habrías mencionado, así que supongamos por ahora que no hay superposición.

Configure un túnel IPSec entre su enrutador central y el suyo, utilizando la autenticación PSK. La mayoría de los buenos enrutadores lo hablarán, y no es difícil de hacer. Una vez que tenga un túnel en su lugar, puede confiar en la identidad de los paquetes que lo bajan ( nota : no estoy diciendo que pueda confiar en el contenido de los paquetes, solo que puede estar seguro de que realmente provienen de Potencial- Socio hostil).

Entonces puede aplicar filtros de acceso al tráfico que sale del túnel y restringir con precisión a qué hosts de su red tienen acceso, y a qué puertos y desde qué máquina (s) en su extremo (aunque esa última restricción es menos útil ya que no tiene control sobre si los dispositivos en su red están cambiando maliciosamente otras direcciones IP para elevar sus derechos de acceso a su fin).

En mi experiencia, vincular las redes, en lugar de tener un cliente aleatorio confiable al final usando un cliente VPN individual, funciona mejor, sobre todo porque terminarás con un trabajo de tiempo completo administrando tokens de acceso de cliente, emitiendo nuevos, revocar los antiguos, quejarse de que las personas los copien o lidiar con las consecuencias de exigir que cualquier token solo se pueda usar una vez, o emitirá un token que todos usarán, y habrá perdido el control sobre quién lo está usando y de dónde lo están usando . También significa que la complejidad está en el núcleo, donde se gestiona mejor.

He tenido algunos túneles de este tipo, entre mis redes y los de los PHP, que se ejecutan durante una década, y simplemente hacen lo suyo. De vez en cuando alguien necesita una nueva máquina en su extremo capaz de acceder a un nuevo cuadro de desarrollo u otro recurso de nuestro lado, y es un simple cambio a una lista de acceso a la interfaz, una solución de una línea para mi propio kit que puedo hacer en segundos, y todo está funcionando. No hay instalaciones de clientes. No hay complicaciones de punto final en absoluto.

Encuentro la idea v6 fascinante, pero sospecho que se ejecutará en las rocas cuando algún cliente solo v4, o algo plagado de errores v6 porque no está probado, aparece y es muy, muy, muy bonito, por favor necesita acceso a sus recursos de red.

MadHatter
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.