Réseau «hostile» dans l'entreprise - veuillez commenter une configuration de sécurité

13

J'ai ici un petit problème spécifique que je veux (besoin) de résoudre de manière satisfaisante. Mon entreprise possède plusieurs réseaux (IPv4) qui sont contrôlés par notre routeur assis au milieu. Configuration typique d'une petite boutique. Il y a maintenant un réseau supplémentaire qui a une plage IP À L'EXTÉRIEUR de notre contrôle, connecté à Internet avec un autre routeur À L'EXTÉRIEUR de notre contrôle. Appelez cela un réseau de projet qui fait partie d'un autre réseau d'entreprises et combiné via VPN qu'ils ont mis en place.

Ça signifie:

  • Ils contrôlent le routeur utilisé pour ce réseau et
  • Ils peuvent reconfigurer les choses pour pouvoir accéder aux machines de ce réseau.

Le réseau est physiquement divisé de notre côté via certains commutateurs compatibles VLAN car il couvre trois emplacements. À une extrémité, il y a le routeur que l'autre société contrôle.

J'ai besoin / je veux donner aux machines utilisées dans ce réseau l'accès à mon réseau d'entreprise. En fait, il peut être bon de les intégrer à mon domaine Active Directory. Les personnes travaillant sur ces machines font partie de mon entreprise. MAIS - je dois le faire sans compromettre la sécurité du réseau de mon entreprise contre les influences extérieures.

Toute sorte d'intégration de routeur utilisant le routeur contrôlé par l'extérieur est exclue par cette idée

Donc, mon idée est la suivante:

  • Nous acceptons l'espace d'adressage IPv4 et la topologie du réseau dans ce réseau n'est pas sous notre contrôle.
  • Nous recherchons des alternatives pour intégrer ces machines dans notre réseau d'entreprise.

Les 2 concepts que j'ai imaginés sont:

  • Utilisez une sorte de VPN - demandez aux machines de se connecter au VPN. Grâce à eux utilisant des fenêtres modernes, cela pourrait être DirectAccess transparent. Cela traite essentiellement l'autre espace IP non différent de n'importe quel réseau de restaurant dans lequel un ordinateur portable de l'entreprise entre.
  • Alternativement - établissez le routage IPv6 vers ce segment Ethernet. Mais - et c'est une astuce - bloquez tous les paquets IPv6 dans le commutateur avant qu'ils n'atteignent le routeur contrôlé par un tiers, de sorte que même s'ils activent IPv6 sur cette chose (non utilisé maintenant, mais ils pourraient le faire), ils n'obtiendraient pas un seul paquet. Le commutateur peut le faire en tirant tout le trafic IPv6 vers ce port dans un VLAN distinct (basé sur le type de protocole Ethernet).

Quelqu'un voit-il un problème avec l'utilisation du commutateur pour isoler l'extérieur d'IPv6? Un trou de sécurité? Il est triste que nous devions traiter ce réseau comme hostile - ce serait beaucoup plus facile - mais le personnel de soutien est de «qualité douteuse connue» et le côté juridique est clair - nous ne pouvons pas remplir nos obligations lorsque nous les intégrons dans notre entreprise alors qu'ils sont sous juridiction, nous n'avons pas notre mot à dire.

TomTom
la source

Réponses:

13

C'est une situation que j'ai rencontrée souvent et je fais à peu près toujours la même chose: IPSec.

Que cela fonctionne pour vous dépend de la présence ou non d'un chevauchement IPv4 entre leur réseau et le vôtre, ce que vous ne dites pas. Mais je sais que vous avez un indice, et s'il y avait cet obstacle supplémentaire, je pense que vous l'auriez mentionné, alors supposons pour l'instant qu'il n'y a pas de chevauchement.

Configurez un tunnel IPSec entre leur routeur principal et le vôtre, à l'aide de l'authentification PSK. La plupart des bons routeurs le parlent et ce n'est pas difficile à faire. Une fois que vous avez un tunnel en place, vous pouvez faire confiance à l'identité de tous les paquets qui le descendent ( remarque : je ne dis pas que vous pouvez faire confiance au contenu des paquets, mais seulement que vous pouvez être sûr qu'ils proviennent vraiment de potentiellement- Partenaire hostile).

Ainsi, vous pouvez appliquer des filtres d'accès au trafic sortant du tunnel, et restreindre précisément les hôtes de votre réseau auxquels ils ont la capacité d'accéder, et sur quels ports, et à partir de quelle (s) machine (s) à leur extrémité (bien que cette dernière restriction soit moins utile car vous ne contrôlez pas si les appareils de leur réseau modifient malicieusement leurs adresses IP pour élever leurs droits d'accès de votre côté).

Lier les réseaux, plutôt que d'avoir un client de confiance aléatoire utilisant un client VPN individuel, fonctionne mieux selon mon expérience, notamment parce que vous vous retrouverez avec un travail à temps plein de gestion des jetons d'accès client - en émettant de nouveaux, révoquer les anciens, se plaindre des personnes qui les copient ou gérer les retombées de la prescription selon laquelle tout jeton ne peut être utilisé qu'une seule fois - ou vous émettrez un jeton que tout le monde utilisera, et vous aurez perdu tout contrôle sur qui l'utilise et d'où ils l'utilisent . Cela signifie également que la complexité est au cœur, où elle est mieux gérée.

J'ai eu de tels tunnels, entre mes réseaux et ceux des PHP, qui fonctionnent depuis une décennie, et ils font juste leur chose. De temps en temps, quelqu'un a besoin d'une nouvelle machine de son côté capable d'accéder à une nouvelle boîte de développement ou à une autre ressource de notre côté, et c'est un simple changement à une liste d'accès à l'interface, une correction d'une ligne à mon propre kit que je peux faire en quelques secondes, et tout fonctionne. Aucun client n'est installé. Aucune complication du point final du tout.

Je trouve l'idée v6 fascinante, mais je soupçonne qu'elle fonctionnera sur les rochers lorsqu'un client v4 uniquement, ou quelque chose criblé de bogues v6 parce qu'il n'est pas testé, arrive et a vraiment besoin d'être vraiment vraiment vraiment vraiment joli à vos ressources réseau.

Chapelier Fou
la source