Tom*_*Tom 13 security network-design
我在这里有一个小问题,我希望(需要)以令人满意的方式解决。我的公司有多个 (IPv4) 网络,由我们位于中间的路由器控制。典型的小商店设置。现在有一个额外的网络,它具有我们控制之外的 IP 范围,通过我们控制之外的另一台路由器连接到互联网。称之为项目网络,它是另一家公司网络的一部分,并通过他们建立的 VPN 组合。
这意味着:
网络通过一些支持 VLAN 的交换机在我们的一端进行物理拆分,因为它涵盖了三个位置。一端是另一家公司控制的路由器。
我需要/想要让这个网络中使用的机器访问我公司的网络。事实上,让它们成为我的活动目录域的一部分可能会很好。在这些机器上工作的人是我公司的一部分。但是 - 我需要这样做,而不会因外部影响而损害我公司网络的安全性。
这个想法不适合使用外部控制路由器的任何类型的路由器集成
所以,我的想法是这样的:
我提出的两个概念是:
有人看到使用他的交换机将外部与 IPv6 隔离的问题吗?有什么安全漏洞吗?遗憾的是,我们不得不将这个网络视为敌对网络 - 会容易得多 - 但那里的支持人员“已知可疑质量”并且法律方面是明确的 - 当我们将他们整合到我们公司时,我们无法履行我们的义务虽然他们在管辖范围内,但我们没有发言权。
Mad*_*ter 13
这是我经常遇到的一种情况,而且我几乎总是做同样的事情:IPSec。
它是否适合你取决于他们的网络和你的网络之间是否存在 IPv4 重叠,你没有说。但我知道你有线索,如果有这个额外的障碍,我想你已经提到了,所以我们现在假设没有任何重叠。
使用 PSK 身份验证在他们的核心路由器和您的核心路由器之间设置 IPSec 隧道。大多数好的路由器都会说,这并不难。一旦你有了一个隧道,你就可以信任从它下来的任何数据包的身份(注意:我不是说你可以信任数据包的内容,只是你可以确定它们确实来自潜在的-敌对伙伴)。
因此,您可以对来自隧道的流量应用访问过滤器,并精确限制他们能够访问的网络上的哪些主机,以及哪些端口,以及它们末端的哪些机器(尽管后一种限制是不太有用,因为您无法控制其网络上的设备是否恶意更改 IP 地址以将其访问权限提升到您的终端)。
链接网络,而不是让任何随机受信任的客户端最终使用单个 VPN 客户端,在我的经验中效果更好,尤其是因为您最终将获得管理客户端访问令牌的全职工作 - 发布新的,撤销旧的,抱怨人们复制它们或处理强制任何令牌只能使用一次的后果 - 或者您将发布一个每个人都会使用的令牌,并且您将失去对谁使用它的任何控制以及他们从哪里使用它。这也意味着复杂性在核心,在那里可以得到最好的管理。
我在我的网络和 PHP 的网络之间有一些这样的隧道,运行了十年,他们只是做他们的事。有时,有人需要一台新机器来访问我们这边的一些新开发箱或其他资源,这是对界面访问列表的简单更改,我可以对自己的工具包进行单行修复在几秒钟内,一切正常。没有客户端安装。完全没有终点并发症。
我发现 v6 的想法很吸引人,但我怀疑当某些仅限 v4 的客户端或因 v6 错误而充斥着 v6 错误的东西出现时,它会遇到困难,因为它未经测试,真的非常非常漂亮,请访问到您的网络资源。