J'ai ici un petit problème spécifique que je veux (besoin) de résoudre de manière satisfaisante. Mon entreprise possède plusieurs réseaux (IPv4) qui sont contrôlés par notre routeur assis au milieu. Configuration typique d'une petite boutique. Il y a maintenant un réseau supplémentaire qui a une plage IP À L'EXTÉRIEUR de notre contrôle, connecté à Internet avec un autre routeur À L'EXTÉRIEUR de notre contrôle. Appelez cela un réseau de projet qui fait partie d'un autre réseau d'entreprises et combiné via VPN qu'ils ont mis en place.
Ça signifie:
- Ils contrôlent le routeur utilisé pour ce réseau et
- Ils peuvent reconfigurer les choses pour pouvoir accéder aux machines de ce réseau.
Le réseau est physiquement divisé de notre côté via certains commutateurs compatibles VLAN car il couvre trois emplacements. À une extrémité, il y a le routeur que l'autre société contrôle.
J'ai besoin / je veux donner aux machines utilisées dans ce réseau l'accès à mon réseau d'entreprise. En fait, il peut être bon de les intégrer à mon domaine Active Directory. Les personnes travaillant sur ces machines font partie de mon entreprise. MAIS - je dois le faire sans compromettre la sécurité du réseau de mon entreprise contre les influences extérieures.
Toute sorte d'intégration de routeur utilisant le routeur contrôlé par l'extérieur est exclue par cette idée
Donc, mon idée est la suivante:
- Nous acceptons l'espace d'adressage IPv4 et la topologie du réseau dans ce réseau n'est pas sous notre contrôle.
- Nous recherchons des alternatives pour intégrer ces machines dans notre réseau d'entreprise.
Les 2 concepts que j'ai imaginés sont:
- Utilisez une sorte de VPN - demandez aux machines de se connecter au VPN. Grâce à eux utilisant des fenêtres modernes, cela pourrait être DirectAccess transparent. Cela traite essentiellement l'autre espace IP non différent de n'importe quel réseau de restaurant dans lequel un ordinateur portable de l'entreprise entre.
- Alternativement - établissez le routage IPv6 vers ce segment Ethernet. Mais - et c'est une astuce - bloquez tous les paquets IPv6 dans le commutateur avant qu'ils n'atteignent le routeur contrôlé par un tiers, de sorte que même s'ils activent IPv6 sur cette chose (non utilisé maintenant, mais ils pourraient le faire), ils n'obtiendraient pas un seul paquet. Le commutateur peut le faire en tirant tout le trafic IPv6 vers ce port dans un VLAN distinct (basé sur le type de protocole Ethernet).
Quelqu'un voit-il un problème avec l'utilisation du commutateur pour isoler l'extérieur d'IPv6? Un trou de sécurité? Il est triste que nous devions traiter ce réseau comme hostile - ce serait beaucoup plus facile - mais le personnel de soutien est de «qualité douteuse connue» et le côté juridique est clair - nous ne pouvons pas remplir nos obligations lorsque nous les intégrons dans notre entreprise alors qu'ils sont sous juridiction, nous n'avons pas notre mot à dire.
la source