회사의 "적대적인"네트워크-보안 설정에 대해 의견을 말하십시오

13

만족스러운 방법으로 해결해야 할 약간의 문제가 있습니다. 우리 회사에는 중간에 앉아있는 라우터로 제어되는 여러 (IPv4) 네트워크가 있습니다. 전형적인 소규모 매장 설정. 이제 우리 제어의 IP 범위 OUTSIDE가 있고 다른 제어 라우터 외부의 인터넷에 연결된 하나의 추가 네트워크가 있습니다. 이를 다른 회사 네트워크의 일부인 프로젝트 네트워크라고하고 그들이 설정 한 VPN을 통해 결합합니다.

이것은 다음을 의미합니다.

  • 이 네트워크에 사용되는 라우터를 제어하고
  • 이 네트워크의 시스템에 액세스 할 수 있도록 사물을 재구성 할 수 있습니다.

네트워크는 세 위치를 포괄하는 일부 VLAN 가능 스위치를 통해 물리적으로 분할됩니다. 한쪽에는 다른 회사가 제어하는 ​​라우터가 있습니다.

이 네트워크에 사용 된 컴퓨터에 회사 네트워크에 대한 액세스 권한을 부여해야합니다. 사실, 그것들을 내 활성 디렉토리 도메인의 일부로 만드는 것이 좋을 수도 있습니다. 그 기계에서 일하는 사람들은 우리 회사의 일부입니다. 그러나 외부 영향으로부터 회사 네트워크의 보안을 손상시키지 않으면 서 그렇게해야합니다.

외부에서 제어되는 라우터를 사용하는 모든 종류의 라우터 통합은이 아이디어에서 비롯됩니다

그래서 내 생각은 이것입니다 :

  • 우리는 IPv4 주소 공간을 받아들이며이 네트워크의 네트워크 토폴로지는 우리가 통제 할 수 없습니다.
  • 우리는 이러한 머신을 회사 네트워크에 통합 할 수있는 대안을 찾고 있습니다.

내가 생각해 낸 두 가지 개념은 다음과 같습니다.

  • 일종의 VPN을 사용하십시오-컴퓨터가 VPN에 로그인하도록하십시오. 현대식 창을 사용하는 덕분에 투명한 DirectAccess가 될 수 있습니다. 이것은 본질적으로 회사의 랩톱이 들어가는 식당 네트워크와 다르지 않은 다른 IP 공간을 처리합니다.
  • 또는이 이더넷 세그먼트로 IPv6 라우팅을 설정하십시오. 그러나 이것은 트릭입니다-타사 제어 라우터에 도달하기 전에 스위치의 모든 IPv6 패킷을 차단하십시오. 따라서 IPv6를 켜도 (현재는 사용하지 않지만 할 수는 있음) 단일 패킷. 스위치는 해당 포트로 들어오는 모든 IPv6 트래픽을 별도의 VLAN (이더넷 프로토콜 유형 기반)으로 가져 와서이를 수행 할 수 있습니다.

스위치를 사용하여 외부를 IPv6에서 분리하는 데 문제가있는 사람이 있습니까? 보안 허점이 있습니까? 이 네트워크를 적대적인 것으로 취급해야한다는 것은 슬프다. 훨씬 쉬울 것이다. 그러나 지원 담당자는 "모호한 품질로 알려져있다"고 법적 측면은 분명하다. 그들이 관할권에있는 동안 우리는 아무 말도하지 않습니다.

security  network-design 
톰톰
소스

답변:

13

이것은 내가 자주 겪는 상황이며, 거의 항상 같은 일을합니다 : IPSec.

그것이 당신을 위해 작동하는지 여부는 네트워크와 당신의 IPv4 겹침이 있는지 여부에 달려 있습니다. 그러나 나는 당신이 단서가 있다는 것을 알고 있으며,이 추가 장애물이 있다면 당신이 그것을 언급했다고 생각합니다. 따라서 중복이 없다고 가정합시다.

PSK 인증을 사용하여 코어 라우터와 사용자의 IPSec 터널을 설정하십시오. 대부분의 좋은 라우터가 말을하기 때문에 어렵지 않습니다. 일단 터널이 설치되면, 내려 오는 패킷의 신원을 신뢰할 수 있습니다 ( 참고 : 패킷의 내용을 신뢰할 수 있다고 말하는 것이 아닙니다. 적대적 파트너).

따라서 터널에서 나오는 트래픽에 액세스 필터를 적용하고 네트워크에서 액세스 할 수있는 호스트와 포트, 끝에서 어떤 시스템을 정확하게 제한 할 수 있습니다 (후자의 제한이 있더라도) 네트워크 장치가 IP 주소를 악의적으로 변경하여 최종 사용자의 액세스 권한을 높이는지 여부를 제어 할 수 없으므로 유용하지 않습니다.

최종적으로 임의의 신뢰할 수있는 클라이언트가 개별 VPN 클라이언트를 사용하지 않고 네트워크를 연결하면 내 경험에서 더 잘 작동합니다. 최소한 시간 동안 클라이언트 액세스 토큰을 관리하는 클라이언트 작업 토큰으로 인해 새로운 토큰을 발급하기 때문입니다. 옛 사람을 취소 사람들을 복사 또는 토큰이 한 번만 사용될 수 있다는 것을 의무화의 여파 처리에 대해 불평 - 또는 모두가 사용하는 토큰 하나를 발행 할 것이고, 당신은 그것을 사용하고있는 사람에 대한 제어를 잃은 것 및 그들은 어디에서 그것을 사용하고 있습니다 . 또한 복잡성이 핵심에 있으며 가장 잘 관리되는 곳입니다.

나는 내 네트워크와 PHP의 터널 사이에 10 년 동안 운영되는 터널을 가지고 있었고 그들은 단지 그들의 일을한다. 때때로 누군가는 결국 새로운 장치 나 다른 리소스에 액세스 할 수있는 새로운 기계가 필요합니다. 인터페이스 액세스 목록이 간단하게 변경되었습니다. 몇 초 만에 모든 것이 작동합니다. 클라이언트 설치가 없습니다. 엔드 포인트 합병증이 전혀 없습니다.

나는 v6 아이디어가 매력적이지만, v4 전용 클라이언트 또는 v6 버그로 인해 테스트를 거치지 않았고, 실제로 와서 정말 정말 정말-필요한 액세스가 필요할 때 바위에 부딪 칠 것이라고 생각합니다. 네트워크 리소스에.

매드 해 터
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.