Ho qui un piccolo problema specifico che voglio (ho bisogno) di risolvere in modo soddisfacente. La mia azienda ha più reti (IPv4) controllate dal nostro router seduto nel mezzo. Tipica installazione di piccoli negozi. Esiste ora una rete aggiuntiva che ha una gamma IP ESTERNA del nostro controllo, connessa a Internet con un altro router ESTERNO del nostro controllo. Chiamalo una rete di progetto che fa parte di un'altra rete aziendale e combinata tramite VPN che hanno creato.
Questo significa:
- Controllano il router utilizzato per questa rete e
- Possono riconfigurare le cose in modo da poter accedere alle macchine in questa rete.
La rete è fisicamente divisa dalla nostra parte attraverso alcuni switch abilitati VLAN in quanto copre tre posizioni. A un'estremità c'è il router controllato dall'altra società.
Ho bisogno / voglio dare alle macchine utilizzate in questa rete l'accesso alla mia rete aziendale. In effetti, potrebbe essere utile renderli parte del mio dominio di active directory. Le persone che lavorano su quelle macchine fanno parte della mia azienda. MA - Devo farlo senza compromettere la sicurezza della mia rete aziendale da influenze esterne.
Qualsiasi tipo di integrazione del router utilizzando il router controllato esternamente è fuori da questa idea
Quindi, la mia idea è questa:
- Accettiamo lo spazio degli indirizzi IPv4 e la topologia di rete in questa rete non è sotto il nostro controllo.
- Cerchiamo alternative per integrare tali macchine nella nostra rete aziendale.
I 2 concetti che mi sono venuti in mente sono:
- Usa una sorta di VPN: chiedi alle macchine di accedere alla VPN. Grazie a loro che utilizzano finestre moderne, questo potrebbe essere DirectAccess trasparente. Questo essenzialmente tratta l'altro spazio IP non diverso da qualsiasi rete di ristoranti in cui entra un laptop dell'azienda.
- In alternativa, stabilire il routing IPv6 verso questo segmento Ethernet. Ma - e questo è un trucco - blocca tutti i pacchetti IPv6 nello switch prima che colpiscano il router controllato da terze parti, in modo che anche se attivano IPv6 su quella cosa (non utilizzata ora, ma potrebbero farlo) non otterrebbero un singolo pacchetto. Lo switch può farlo correttamente trascinando tutto il traffico IPv6 che arriva a quella porta in una VLAN separata (basata sul tipo di protocollo ethernet).
Qualcuno vede un problema con l'utilizzo di switch per isolare l'esterno da IPv6? Qualche falla di sicurezza? È triste che dobbiamo considerare questa rete come ostile - sarebbe molto più semplice - ma il personale di supporto è di "nota qualità dubbia" e il lato legale è chiaro: non possiamo adempiere ai nostri obblighi quando li integriamo nella nostra azienda mentre sono sotto una giurisdizione di cui non abbiamo voce in capitolo.