web-dev-qa-db-ja.com

社内の「敵対的」ネットワーク-セキュリティ設定についてコメントしてください

ここで、満足のいく方法で解決したい(必要な)特定の問題が少しあります。私の会社には複数の(IPv4)ネットワークがあり、それらは中央にあるルーターによって制御されています。典型的な小さな店のセットアップ。これで、制御範囲外のIP範囲を持ち、制御範囲外の別のルーターでインターネットに接続されたネットワークが1つ追加されました。これを、他社のネットワークの一部であり、彼らが設定したVPNを介して結合されたプロジェクトネットワークと呼びます。

これの意味は:

  • これらは、このネットワークに使用されるルーターを制御し、
  • 彼らは、このネットワーク内のマシンにアクセスできるように、物事を再構成できます。

ネットワークは、3つの場所をカバーするため、いくつかのVLAN対応スイッチを介して物理的に分割されています。一方の端には、他の会社が制御するルーターがあります。

このネットワークで使用されているマシンに会社のネットワークへのアクセスを許可する必要があります。実際、それらを私のActiveDirectoryドメインの一部にするのは良いことかもしれません。それらの機械で働く人々は私の会社の一部です。しかし、外部の影響から会社のネットワークのセキュリティを損なうことなく、そうする必要があります。

このアイデアにより、外部制御ルーターを使用したあらゆる種類のルーター統合が実現します。

だから、私の考えはこれです:

  • 私たちはIPv4アドレス空間を受け入れ、このネットワークのネットワークトポロジは私たちの管理下にありません。
  • これらのマシンを会社のネットワークに統合するための代替手段を探しています。

私が思いついた2つの概念は次のとおりです。

  • ある種のVPNを使用します-マシンにVPNにログインさせます。最新のウィンドウを使用しているおかげで、これは透過的なDirectAccessになる可能性があります。これは基本的に、会社のラップトップが入るレストランネットワークと同じように他のIPスペースを扱います。
  • または、このイーサネットセグメントへのIPv6ルーティングを確立します。しかし、これはトリックです。サードパーティが制御するルーターに到達する前に、スイッチ内のすべてのIPv6パケットをブロックします。これにより、IPv6をオンにしても(現在は使用されていませんが、実行できます)、受信されません。単一のパケット。スイッチは、そのポートに着信するすべてのIPv6トラフィックを個別のVLAN(イーサネットプロトコルタイプに基づく)にプルすることで、これをうまく行うことができます。

スイッチを使用して外部をIPv6から分離することに問題があると思われる人はいますか?セキュリティホールはありますか?このネットワークを敵対的なものとして扱わなければならないのは悲しいことです-はるかに簡単です-しかし、そこにあるサポート要員は「疑わしい品質」であり、法的側面は明らかです-私たちがそれらを会社に統合するとき、私たちは義務を果たすことができません彼らが管轄下にある間、私たちは発言権を持っていません。

securitynetwork-design
13
TomTom

これは私が頻繁に遭遇する状況であり、私はほとんど常に同じことをします:IPSec。

それがあなたのために働くかどうかは、彼らのネットワークとあなたのネットワークの間にIPv4の重複があるかどうかに依存しますが、あなたは言いません。しかし、私はあなたが手がかりを持っていることを知っています、そしてこの追加のハードルがあったならあなたはそれについて言及したと思います、それで今のところ重複がないと仮定しましょう。

PSK認証を使用して、コアルーターとユーザーの間にIPSecトンネルを設定します。ほとんどの優れたルーターはそれを話します、そしてそれは難しいことではありません。トンネルを設置したら、トンネルを通過するパケットのIDを信頼できます(:パケットの内容を信頼できると言っているのではなく、確実にできることだけです。彼らは本当に潜在的に敵対的なパートナーから来ています)。

したがって、トンネルから出てくるトラフィックにアクセスフィルタを適用し、ネットワーク上のどのホストがアクセスできるか、どのポートで、どのマシンからアクセスできるかを正確に制限できます(ただし、後者の制限はネットワーク上のデバイスが悪意を持ってIPアドレスを変更して、アクセス権を自分の側に上げるかどうかを制御できないため、あまり役に立ちません)。

ネットワークをリンクすることは、最終的にランダムな信頼できるクライアントに個別のVPNクライアントを使用させるのではなく、私の経験ではうまく機能します。特に、クライアントアクセストークンを管理するフルタイムの仕事になってしまうためです。古いものを取り消す、それらをコピーする人々について不平を言う、またはトークンは一度しか使用できないことを義務付けるというフォールアウトに対処する-または、誰もが使用するトークンを1つ発行すると、誰がそれを使用するかを制御できなくなります- そして彼らがそれをどこから使用しているか。また、複雑さがコアにあり、最適に管理されていることも意味します。

私のネットワークとPHPのネットワークの間に、10年間実行されているそのようなトンネルがいくつかあり、それらはただ彼らのことをしているだけです。時々、誰かが新しい開発ボックスや他のリソースにアクセスできる新しいマシンを必要とします。これは、インターフェイスアクセスリストへの簡単な変更であり、自分のキットを1行で修正できます。数秒で、すべてが機能しています。クライアントはインストールされません。エンドポイントの複雑化はまったくありません。

V6のアイデアは魅力的だと思いますが、v4のみのクライアント、またはテストされていないためにv6のバグがたくさんあるものが登場し、本当に本当に本当にかなりアクセスが必要になると、それは岩にぶつかると思います。ネットワークリソースに。

13
MadHatter