VPNの代替

この種のことを行うための標準的な「旧式の」方法は、サポートが必要な場合に変更レコードを上げて有効にするためにダイヤルアップモデムをオフにすることでした。リモートサポート担当者がモデムにアクセスし、作業の最後に再びオフになります。

手動要素（変更制御、物理的な電源スイッチ）は、それが使用された理由のいくつかの制御と監査証跡を提供し、誰かがモデムをオンのままにするリスクを軽減します（ただし、人々が怠惰になるリスクは常にありますが、それが理由です監査人がいる:)）

最近の同等の方法としては、変更要求が発生したときにケーブルをルーターに接続し、作業が完了したとき、または設定された最大期間が経過したときにケーブルを再度プルする方法があります。

もちろん、これには、ケーブルの接続/切断を行うことができる現場に誰かがいて、堅牢な変更管理プロセスが整っている必要があります。もちろん、これらのいずれも、リモートアクセスソリューションを安全にセットアップおよび構成するための要件を無効にするものではありません。このソリューションの可能性があるため、めったに使用されないデバイスのリスクは、人々がそれらにパッチを適用することを忘れることです...

分離したままにしたいネットワークがありますが、その分離レベルを少し下げる予定です。この時点で自問する必要がある最も重要な質問は、「何から分離されているのか」だと思います。

さもなければ分離されたこのネットワークにつながるインターネットに公開されたVPNサービスを実行しているとしましょう。これは、大量の分析を行った、よく書かれたソフトウェアである可能性があります。ネットワークフィルター、必須のアクセス制御、アラーム、監査証跡などの広範な保護手段を使用して実装できます。それ自体では、分離のレベルを下げる可能性はそれほど高くありません。

次に、全体像を見てみましょう。この架空のVPNに誰または何が接続するのでしょうか。答えは、大量のソフトウェアを実行する多目的ワークステーションであることを危険にさらすでしょう。 Webを閲覧し、電子メールの添付ファイルを開き、ネットワーク経由でソフトウェアの更新を実行します。このマシンは、あなたの敵の親友であり、安全を保つことが基本的に不可能であるマシンです。過去に「孤立した」ネットワークに物理的に接続されていることさえあると思います。機密性の高いネットワークを分離したいのはthis獣だと私は申し上げます。

これが私のポイントです：分離したい脅威を特定し、それを実行します。これらの脅威のほとんどは、機密性の高いネットワークをリモートでトラブルシューティングするために使用される、ワークステーションに対するインターネット向けの攻撃です。承認された唯一のVPNクライアントとして機能するように、VPNサーバーと同じくらい最小限で強化されたノートブックコンピューターの専用コレクションをお勧めします。

他の回答の多くは、秘密のノック、リモートアクセスサービスを使用していないときは無効にしておくことなどで問題が解決されると思います。これらのトリックはすべて、次回管理者が悪意のあるものを開いたときに無効になりますPDF彼のVPNクライアントマシン上。

答えは、ネットワークが分離されている理由と、外部アクセスの許可が問題であるかどうかによって異なります。ネットワークは、適用可能なすべてのセキュリティ標準および要件に準拠している必要がありますネットワークが接続されている場合。おそらく、要件としてではなく、追加の安全層としてのみネットワークを切断します。

また、ネットワークリンクが明示的に公開された匿名アクセスでない場合は、VPNのように制限して暗号化する必要があります。そうでなければそれを要求します。

VPNは、IPSecほど信じられないほど複雑である必要はありません。代わりに、SSHポート転送などを使用できます。しかし、使用していないときにエンドポイントの電源を切るという考えは捨てません。

リモートで（またはローカルで）電源を供給するルーターのアプローチは理にかなっていますが、保護する必要がある内部への道を作成します。

そのアプローチのリスクは、誰かが電話番号についての情報を知ったり漏らしたりすることです-あるいは誰かが誤って（または警戒して、アラウォーゲーム）を呼び出して-そしてルーター電源が入ったままです。

だから私はそれを言うでしょう

• 「電話」だけでルーターに電力を供給することはできません。少なくともデバイスは、発信者番号またはSMSのパスワードを含む）の内容を認識する必要があります（他のすべてのパスワードと同じように維持および更新する必要があります）。
• 上記の改善として、SMSは、着信接続を受け入れるIP範囲を指定する場合もあります。
• 発生したことはすべてログに記録し、レジストリまたはメンテナンスチェックのスケジュールと照合して、異常を検出できるようにする必要があります。
• 20分の呼び出しはそれほど大量のデータではありません。ルーターは、念のため、トラフィック全体をログに記録して保存することもあります。

既製のコンポーネントを使用すると、SMSダイヤルインシステムをPCと同等のハードウェアでセットアップできます。SMSボード/モデム、リレーボード、および許可された電話番号のリストがあるルーター。このシナリオでは、ルーターの電源は常にオンになっていますが（ファイアウォールのプログラミング、メンテナンス、ファームウェアの更新などの定期的なチェックのため）、外部への接続はリレーボードを介して物理的に切断されます。ワークフローは次のようになります。

• SMSボードはSMSを受信します
• 「ガーディアン」システムはSMSを分析し、送信者番号、テキストコンテンツ、および要求されたIP範囲を検証します
• 「ガーディアン」システムはルーターの診断チェックを実行し、新しいルートを構築してアップロードします
• 「ガーディアン」システムは、ルーターインターフェイスでSSHシェルを開きます
• リレーボードはルータのインバウンドデータラインを物理的に接続します
• 許可されたIP範囲のユーザーがSSHログインにアクセスできるようになりました

また：

• 「ガーディアン」システムは、タイムアウト、問題、その他の異常がないか接続を監視します。また、ルーターが何に関係なく切断されるまでの最大時間も必要です。そして最後に、「切断」されると、ガーディアンはルーター診断に問い合わせて、ルートが実際に物理的にダウンしていることを確認します。

（必要に応じて、「ガーディアン」システムは2つの独立したシステムで構成することもできます。1つはSSHサーバーを除く上記のすべてを備え、もう1つはネットワークの内部へのファイアウォールとして機能します。最初のシステムは、次にスニッフィングすることができます。すべてのトラフィック。ローカルコンソール以外からアクセスする方法はありません）

[〜＃〜] update [〜＃〜]上記のほとんどは、（ほぼ） scripting を使用して簡単に利用できますAndroidアクセスポイントを提供するデバイス。承認されたソースからのSMSは、データリンク、WiFiアクセスポイント、およびDynDNSアップデートをアクティブにします。次に、IPがデータ速度は電話会社が利用できる速度に制限されますが、シェル（およびVPN）を実行できるようになります。

Shelloidバーチャルプライベートトランスポート（VPT）を使用すると、VPNのようなネットワークアクセスを提供せずにサービスアクセスを許可できます。必要なときにサービスを共有し、後で共有を解除することができます（APIが準備できたら、cronジョブを記述してこれを自動的に行うことができます）。 VPTはオープンソースです（ http://shelloid.org ）。

免責事項：私はShelloidの創設者であり、VPTプロジェクトを率いています。

いくつかの簡単なアイデア。

1. SMSまたはパスワード付きの電話でのアイデアは良いです。
2. 物理ルーターの代わりに仮想ルーターを使用します。電源を管理する必要なく、仮想ルーターを起動および停止できます。
3. 安全なネットワークから信頼できるクラウドへのM2Mコネクタのようなものを使用します。そのため、データとコマンドは、外部からプッシュされるのではなく、分離されたネットワークによってからプルされる必要があります。