Rete "ostile" nell'azienda: commentare un'impostazione di sicurezza

13

Ho qui un piccolo problema specifico che voglio (ho bisogno) di risolvere in modo soddisfacente. La mia azienda ha più reti (IPv4) controllate dal nostro router seduto nel mezzo. Tipica installazione di piccoli negozi. Esiste ora una rete aggiuntiva che ha una gamma IP ESTERNA del nostro controllo, connessa a Internet con un altro router ESTERNO del nostro controllo. Chiamalo una rete di progetto che fa parte di un'altra rete aziendale e combinata tramite VPN che hanno creato.

Questo significa:

  • Controllano il router utilizzato per questa rete e
  • Possono riconfigurare le cose in modo da poter accedere alle macchine in questa rete.

La rete è fisicamente divisa dalla nostra parte attraverso alcuni switch abilitati VLAN in quanto copre tre posizioni. A un'estremità c'è il router controllato dall'altra società.

Ho bisogno / voglio dare alle macchine utilizzate in questa rete l'accesso alla mia rete aziendale. In effetti, potrebbe essere utile renderli parte del mio dominio di active directory. Le persone che lavorano su quelle macchine fanno parte della mia azienda. MA - Devo farlo senza compromettere la sicurezza della mia rete aziendale da influenze esterne.

Qualsiasi tipo di integrazione del router utilizzando il router controllato esternamente è fuori da questa idea

Quindi, la mia idea è questa:

  • Accettiamo lo spazio degli indirizzi IPv4 e la topologia di rete in questa rete non è sotto il nostro controllo.
  • Cerchiamo alternative per integrare tali macchine nella nostra rete aziendale.

I 2 concetti che mi sono venuti in mente sono:

  • Usa una sorta di VPN: chiedi alle macchine di accedere alla VPN. Grazie a loro che utilizzano finestre moderne, questo potrebbe essere DirectAccess trasparente. Questo essenzialmente tratta l'altro spazio IP non diverso da qualsiasi rete di ristoranti in cui entra un laptop dell'azienda.
  • In alternativa, stabilire il routing IPv6 verso questo segmento Ethernet. Ma - e questo è un trucco - blocca tutti i pacchetti IPv6 nello switch prima che colpiscano il router controllato da terze parti, in modo che anche se attivano IPv6 su quella cosa (non utilizzata ora, ma potrebbero farlo) non otterrebbero un singolo pacchetto. Lo switch può farlo correttamente trascinando tutto il traffico IPv6 che arriva a quella porta in una VLAN separata (basata sul tipo di protocollo ethernet).

Qualcuno vede un problema con l'utilizzo di switch per isolare l'esterno da IPv6? Qualche falla di sicurezza? È triste che dobbiamo considerare questa rete come ostile - sarebbe molto più semplice - ma il personale di supporto è di "nota qualità dubbia" e il lato legale è chiaro: non possiamo adempiere ai nostri obblighi quando li integriamo nella nostra azienda mentre sono sotto una giurisdizione di cui non abbiamo voce in capitolo.

security  network-design 
TomTom
fonte

Risposte:

13

Questa è una situazione in cui mi imbatto spesso e praticamente faccio sempre la stessa cosa: IPSec.

Se funziona per te dipende dal fatto che ci sia una sovrapposizione IPv4 tra la loro rete e la tua, cosa che non dici. Ma so che hai un indizio, e se ci fosse questo ulteriore ostacolo penso che l'avresti menzionato, quindi supponiamo per ora che non ci siano sovrapposizioni.

Imposta un tunnel IPSec tra il loro router principale e il tuo, usando l'autenticazione PSK. La maggior parte dei router validi lo parleranno e non è difficile da fare. Una volta installato un tunnel, puoi fidarti dell'identità di tutti i pacchetti che ne derivano ( nota : non sto dicendo che puoi fidarti del contenuto dei pacchetti, solo che puoi essere sicuro che provengano davvero da Partner ostile).

Quindi puoi applicare i filtri di accesso al traffico in uscita dal tunnel e limitare con precisione a quali host della tua rete hanno la possibilità di accedere, e su quali porte e da quali macchine alla loro fine (anche se quest'ultima restrizione è meno utile in quanto non hai alcun controllo sul fatto che i dispositivi sulla loro rete stiano modificando maliziosamente gli indirizzi IP per elevare i loro diritti di accesso alla tua estremità.

Il collegamento delle reti, anziché avere un client fidato a caso alla fine utilizza un singolo client VPN, funziona meglio nella mia esperienza, anche perché si finirà con un lavoro a tempo pieno che gestisce i token di accesso del client - emettendo nuovi, revocare quelli vecchi, lamentarsi delle persone che li copiano o affrontano la ricaduta del mandato che ogni token può essere usato solo una volta - o emetterai un token che tutti useranno e avrai perso il controllo su chi lo sta usando e da dove lo stanno usando . Significa anche che la complessità è nel nocciolo, dove è meglio gestita.

Ho avuto alcuni di questi tunnel, tra le mie reti e quelle dei PHP, in esecuzione per un decennio, e loro fanno proprio la loro cosa. Di tanto in tanto qualcuno ha bisogno di una nuova macchina da parte sua in grado di accedere a qualche nuova scatola di sviluppo o altra risorsa da parte nostra, ed è una semplice modifica a un elenco di accesso all'interfaccia, una correzione di una riga al mio kit che posso fare in pochi secondi e tutto funziona. Nessuna installazione client. Nessuna complicazione dell'endpoint.

Trovo l'idea v6 affascinante, ma ho il sospetto che verrà eseguita sulle rocce quando qualche client solo per v4, o qualcosa pieno di bug v6 perché è così non testato, arriva e davvero-davvero-molto-carino-bisogno di accedere alle risorse di rete.

Cappellaio Matto
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.