Rede "Hostil" na empresa - por favor, comente sobre uma configuração de segurança

13

Eu tenho um pequeno problema específico aqui que quero (preciso) resolver de maneira satisfatória. Minha empresa possui várias redes (IPv4) controladas pelo nosso roteador no meio. Configuração típica de loja menor. Agora existe uma rede adicional que possui uma faixa de IP FORA do nosso controle, conectada à Internet por outro roteador FORA do nosso controle. Chame de rede de projeto que faz parte de outra rede de empresas e combinada via VPN que eles configuram.

Isso significa:

  • Eles controlam o roteador usado para esta rede e
  • Eles podem reconfigurar as coisas para que possam acessar as máquinas nesta rede.

A rede está fisicamente dividida do nosso lado através de alguns switches compatíveis com VLAN, pois abrange três locais. Em uma extremidade, há o roteador que a outra empresa controla.

Eu preciso / quero dar às máquinas usadas nesta rede acesso à rede da minha empresa. De fato, pode ser bom fazer parte do meu domínio do Active Directory. As pessoas que trabalham nessas máquinas fazem parte da minha empresa. MAS - eu preciso fazer isso sem comprometer a segurança da rede da minha empresa contra influências externas.

Qualquer tipo de integração de roteador usando o roteador controlado externamente está de acordo com essa ideia

Então, minha ideia é esta:

  • Aceitamos o espaço de endereço IPv4 e a topologia de rede nesta rede não está sob nosso controle.
  • Buscamos alternativas para integrar essas máquinas na rede da empresa.

Os 2 conceitos que inventei são:

  • Use algum tipo de VPN - faça com que as máquinas efetuem login na VPN. Graças a eles usando janelas modernas, isso pode ser o DirectAccess transparente. Isso basicamente trata o outro espaço IP não diferente de qualquer rede de restaurantes em que um laptop da empresa entra.
  • Como alternativa - estabeleça o roteamento IPv6 para este segmento ethernet. Mas - e isso é um truque - bloqueie todos os pacotes IPv6 no switch antes de atingirem o roteador controlado por terceiros, para que, mesmo que ativem o IPv6 nessa coisa (não usada agora, mas poderiam fazê-lo), eles não conseguiriam um único pacote. O switch pode fazer isso muito bem, puxando todo o tráfego IPv6 que chega a essa porta para uma VLAN separada (com base no tipo de protocolo Ethernet).

Alguém vê um problema ao usar o switch para isolar o externo do IPv6? Alguma brecha na segurança? É triste termos que tratar essa rede como hostil - seria muito mais fácil - mas o pessoal de suporte de "qualidade duvidosa conhecida" e o lado jurídico são claros - não podemos cumprir nossas obrigações quando as integramos à nossa empresa enquanto eles estiverem sob uma jurisdição, não temos voz.

TomTom
fonte

Respostas:

13

É uma situação em que me deparo com frequência e quase sempre faço a mesma coisa: IPSec.

Se funciona para você, depende da existência de uma sobreposição de IPv4 entre a rede deles e a sua, o que você não diz. Mas eu sei que você tem idéia, e se houvesse esse obstáculo adicional, acho que você o teria mencionado, então vamos supor por enquanto que não há sobreposição.

Configure um túnel IPSec entre o roteador principal e o seu, usando a autenticação PSK. A maioria dos bons roteadores fala isso, e não é difícil de fazer. Depois de instalar um túnel, você pode confiar na identidade de qualquer pacote que desça por ele ( nota : não estou dizendo que você pode confiar no conteúdo dos pacotes, apenas para ter certeza de que eles realmente vêm de Potencialmente - Parceiro Hostil).

Portanto, você pode aplicar filtros de acesso ao tráfego que sai do túnel e restringir com precisão quais hosts da rede eles têm capacidade de acessar, e em quais portas e de quais máquinas no final (embora essa última restrição seja menos útil, pois você não tem controle sobre se os dispositivos da rede estão alterando maliciosamente os endereços IP para elevar seus direitos de acesso ao seu fim).

Vincular as redes, em vez de ter um cliente confiável aleatório no final, usar um cliente VPN individual, funciona melhor em minha experiência, até porque você terá um trabalho em tempo integral gerenciando tokens de acesso de cliente - emitindo novos, revogando os antigos, resmungando sobre as pessoas que os copiam ou lidando com a conseqüência de exigir que qualquer token possa ser usado apenas uma vez - ou você emitirá um token que todos usarão e você perderá qualquer controle sobre quem o está usando e de onde eles estão usando . Isso também significa que a complexidade está no centro, onde é melhor gerenciada.

Eu tive alguns desses túneis, entre minhas redes e as dos PHPs, funcionando por uma década, e eles simplesmente fazem suas coisas. De tempos em tempos, alguém precisa de uma nova máquina capaz de acessar uma nova caixa de desenvolvimento ou outro recurso do nosso lado, e é uma simples alteração na lista de acesso à interface, uma correção de uma linha no meu kit que eu posso fazer em segundos, e tudo está funcionando. Nenhum cliente instala. Sem complicações de ponto final.

Acho a ideia da v6 fascinante, mas suspeito que ela funcione quando algum cliente somente na v4, ou algo cheio de bugs na v6, porque é muito não testado, aparece e precisa de acesso realmente muito, muito, muito bonito aos seus recursos de rede.

Chapeleiro Louco
fonte