Ich arbeite als Sicherheitsingenieur in einer Firma. Wir verwalten viele Kunden FW, Proxy, .. etc. Ein Beispiel für unsere täglichen Tickets könnte sein, dass der Benutzer auf keine Website zugreifen kann. Wir überprüfen daher den Kunden-Proxy, ...
Während der Fehlerbehebung und da wir bereits alle Geräte verwalten, haben wir einige Möglichkeiten, den Benutzer zu simulieren (z. B. in unserem Beispiel den Proxy des Kunden explizit definieren und testen).
Leider konnten wir den Benutzer jedoch die meiste Zeit nicht simulieren, sodass wir keine andere Möglichkeit haben, als den betroffenen Benutzer für einen Live-Test anzurufen (z. B. in unserem Beispiel, wenn der Kunde einen transparenten Proxy verwendet? ... oder wenn er über IPS verfügt auf seinem Weg ...)
Meine Frage ist also, ob ich alle Geräte verwalte. Gibt es eine Möglichkeit, mich selbst so zu simulieren, als ob ich mich intern hinter der Vertrauenszone der FW befinde ?! Damit kann ich alle Tickets offline beheben!
Ich dachte an Folgendes:
1- Öffnen Sie eine Regel in der FW, damit ich darauf zugreifen kann. Dann kann ich mithilfe richtlinienbasierter Routing-Techniken meinen Datenverkehr so weiterleiten, als ob er intern generiert worden wäre. - Das Problem ist, wie ich den Browser bitten kann, den gesamten http-Verkehr zum Beispiel an die FW umzuleiten; Wenn ich es über einen expliziten Proxy mache, habe ich nichts getan, und leider kann ich in meinem PC keine Route für bestimmte Ports festlegen.
2- Erstellen Sie ein VPN zwischen meinem PC und der FW des Kunden und tunneln Sie meinen http-Verkehr innerhalb des VPN. - Das Problem ist, ich bin nicht sicher, ob dies getan werden kann; Ich brauche einen VPN-Client, der fortgeschrittener ist als der Windows-VPN-Assistent, und brauche dasselbe für FW.
3- Es gibt bereits ein VPN zwischen der FW und unserem Management-Server, also kann ich jeglichen Datenverkehr von der FW zu meinem PC initiieren und wie eine Hintertür hinter der FW machen. - Das Problem wird natürlich sein, dass ich nicht wie ncat in meiner FW installieren konnte?
Für mich würde ich sagen, dass Ansatz 2 der am besten geeignete ist, wie die Verwendung des Konzepts sicherer Remotebenutzer ?! Also ich möchte Ihre Ideen und Vorschläge.
Irgendwelche Ideen
Antworten:
Dies sollte mit Browser-Proxy-Einstellungen für einen bestimmten Port auf der Client-FW möglich sein. Die Firewall-Regeln leiten diesen Datenverkehr an den Webproxyserver / die Software / den Daemon des Clients weiter, NICHT direkt an das Web. Darüber hinaus sollte die Regel den Zugriff nur von Ihrer Büro-IP-Adresse aus beschränken, andernfalls wird Client-FW zu einem offenen Proxy.
Eigentlich ist dies vielleicht der einfachste Weg, wenn die FW PPTP unterstützt, was von vielen Firewall-Geräten unterstützt wird. l2tp wird mehr arbeiten brauchen. Diese Lösung hängt von der Marke / dem Modell der FW auf der Client-Site ab.
Richten Sie bei einem vorhandenen VPN zwischen der FW und dem Verwaltungsserver eine statische Route zum Client-Netzwerk (über den Verwaltungsserver) ein und verweisen Sie den Browser-Proxy auf die interne IP-Adresse der Client-FW (Web-Proxy).
quelle