"Feindliches" Netzwerk im Unternehmen - bitte kommentieren Sie ein Sicherheits-Setup

13

Ich habe hier ein kleines spezifisches Problem, das ich zufriedenstellend lösen möchte (muss). In meiner Firma gibt es mehrere (IPv4-) Netzwerke, die von unserem Router in der Mitte gesteuert werden. Typische kleinere Ladeneinrichtung. Es gibt jetzt ein zusätzliches Netzwerk mit einem IP-Bereich AUSSERHALB unserer Steuerung, das mit einem anderen Router AUSSERHALB unserer Steuerung mit dem Internet verbunden ist. Nennen wir es ein Projektnetzwerk, das Teil eines anderen Unternehmensnetzwerks ist und über das von ihnen eingerichtete VPN kombiniert wird.

Das heisst:

  • Sie steuern den Router, der für dieses Netzwerk verwendet wird und
  • Sie können Dinge neu konfigurieren, damit sie auf die Maschinen in diesem Netzwerk zugreifen können.

Das Netzwerk ist physisch auf unserer Seite durch einige VLAN-fähige Switches aufgeteilt, da es drei Standorte abdeckt. An einem Ende befindet sich der Router, den die andere Firma kontrolliert.

Ich muss / möchte den in diesem Netzwerk verwendeten Maschinen Zugriff auf mein Firmennetzwerk gewähren. In der Tat kann es sinnvoll sein, sie in meine Active Directory-Domäne aufzunehmen. Die Leute, die an diesen Maschinen arbeiten, sind Teil meiner Firma. ABER - ich muss dies tun, ohne die Sicherheit meines Unternehmensnetzwerks vor äußeren Einflüssen zu gefährden.

Jede Art von Router-Integration unter Verwendung des extern gesteuerten Routers ist von dieser Idee ausgeschlossen

Meine Idee ist also:

  • Wir akzeptieren den IPv4-Adressraum und die Netzwerktopologie in diesem Netzwerk unterliegt nicht unserer Kontrolle.
  • Wir suchen nach Alternativen, um diese Maschinen in unser Unternehmensnetzwerk zu integrieren.

Die 2 Konzepte, die ich mir ausgedacht habe, sind:

  • Verwenden Sie eine Art VPN - lassen Sie die Computer sich bei VPN anmelden. Dank der Verwendung moderner Fenster könnte dies für DirectAccess transparent sein. Dies behandelt im Wesentlichen den anderen IP-Bereich, der nicht anders ist als jedes Restaurant-Netzwerk, in das ein Laptop des Unternehmens eintritt.
  • Alternativ: Richten Sie ein IPv6-Routing für dieses Ethernet-Segment ein. Aber - und das ist ein Trick - blockieren Sie alle IPv6-Pakete im Switch, bevor sie auf den von Drittanbietern gesteuerten Router treffen, sodass sie selbst dann, wenn sie IPv6 auf dem Ding einschalten (das sie jetzt nicht verwenden, aber es können), nicht bekommen ein einzelnes Paket. Der Switch kann dies problemlos tun, indem er den gesamten IPv6-Datenverkehr, der an diesem Port eingeht, in ein separates VLAN (basierend auf dem Ethernet-Protokolltyp) zieht.

Hat jemand ein Problem damit, den äußeren Switch von IPv6 zu isolieren? Irgendeine Sicherheitslücke? Es ist traurig, dass wir dieses Netzwerk als feindlich behandeln müssen - wäre viel einfacher -, aber das Support-Personal dort ist von "bekannt zweifelhafter Qualität" und die rechtliche Seite ist klar - wir können unsere Verpflichtungen nicht erfüllen, wenn wir sie in unser Unternehmen integrieren Während sie unter einer Gerichtsbarkeit stehen, haben wir kein Mitspracherecht.

TomTom
quelle

Antworten:

13

Dies ist eine Situation, in die ich oft geraten bin, und ich mache so ziemlich immer das Gleiche: IPSec.

Ob es für Sie funktioniert, hängt davon ab, ob es eine IPv4-Überlappung zwischen ihrem und Ihrem Netzwerk gibt, was Sie nicht sagen. Aber ich weiß, dass Sie eine Ahnung haben, und wenn es diese zusätzliche Hürde gegeben hätte, hätten Sie sie wohl schon erwähnt. Gehen wir also zunächst davon aus, dass es keine Überschneidungen gibt.

Richten Sie mithilfe der PSK-Authentifizierung einen IPSec-Tunnel zwischen dem Core-Router und Ihrem Router ein. Die meisten guten Router sprechen es, und es ist nicht schwer zu tun. Sobald Sie einen Tunnel eingerichtet haben, können Sie sich auf die Identität aller Pakete verlassen, die herunterkommen ( Anmerkung : Ich sage nicht, dass Sie dem Inhalt der Pakete vertrauen können, nur dass Sie sicher sein können, dass sie wirklich von Feindlicher Partner).

Dann können Sie Zugriffsfilter auf den aus dem Tunnel kommenden Datenverkehr anwenden und genau einschränken, auf welche Hosts in Ihrem Netzwerk sie zugreifen können, auf welche Ports und von welchen Rechnern an deren Ende (obwohl letztere Einschränkung besteht) weniger nützlich, da Sie keine Kontrolle darüber haben, ob Geräte in ihrem Netzwerk böswillig ihre IP-Adressen ändern, um ihre Zugriffsrechte zu erhöhen).

Das Verknüpfen der Netzwerke, anstatt dass ein zufälliger vertrauenswürdiger Client an seinem Ende einen einzelnen VPN-Client verwendet, funktioniert meiner Erfahrung nach besser, nicht zuletzt, weil Sie entweder einen Vollzeitjob haben, der die Clientzugriffstoken verwaltet - und neue ausstellt. Widerrufen alter Token, Murren über das Kopieren von Token oder die Behauptung, dass jeder Token nur einmal verwendet werden darf - oder Sie stellen einen Token aus, den jeder verwenden wird, und verlieren die Kontrolle darüber, wer ihn verwendet und woher sie es verwenden . Dies bedeutet auch, dass die Komplexität im Kern liegt, wo sie am besten verwaltet wird.

Ich habe einige solcher Tunnel zwischen meinen Netzwerken und denen der PHPs, die seit einem Jahrzehnt aktiv sind, und sie tun einfach ihre Sache. Von Zeit zu Zeit benötigt jemand eine neue Maschine an seinem Ende, die auf eine neue Entwicklungsbox oder eine andere Ressource an unserem Ende zugreifen kann, und es ist eine einfache Änderung an einer Interface-Zugriffsliste, eine einzeilige Korrektur meines eigenen Kits, die ich durchführen kann in sekunden und alles funktioniert. Kein Client installiert. Überhaupt keine Endpunktkomplikationen.

Ich finde die V6-Idee faszinierend, aber ich vermute, dass sie auf den Felsen rinnt, wenn ein V4-Client oder etwas mit V6-Bugs durchsetztes, weil es so ungetestet ist und wirklich, wirklich, wirklich, hübsch, bitte Zugang benötigt zu Ihren Netzwerkressourcen.

MadHatter
quelle