कंपनी में "शत्रुतापूर्ण" नेटवर्क - कृपया सुरक्षा सेटअप पर टिप्पणी करें

मुझे यहाँ कुछ विशिष्ट समस्या है जिसे मैं (आवश्यकता) संतोषजनक तरीके से हल करना चाहता हूँ। मेरी कंपनी में कई (IPv4) नेटवर्क हैं जो बीच में बैठे हमारे राउटर द्वारा नियंत्रित होते हैं। विशिष्ट छोटी दुकान सेटअप। अब एक अतिरिक्त नेटवर्क है जिसमें हमारे नियंत्रण का एक IP रेंज OUTSIDE है, जो हमारे नियंत्रण के एक अन्य रूटर OUTSIDE के साथ इंटरनेट से जुड़ा है। इसे एक प्रोजेक्ट नेटवर्क कहें जो अन्य कंपनियों के नेटवर्क का हिस्सा है और वीपीएन के माध्यम से उन्हें स्थापित किया गया है।

इसका मतलब है की:

• वे राउटर को नियंत्रित करते हैं जो इस नेटवर्क के लिए उपयोग किया जाता है और
• वे चीजों को फिर से कॉन्फ़िगर कर सकते हैं ताकि वे इस नेटवर्क में मशीनों तक पहुंच सकें।

तीन स्थानों को कवर करने के लिए कुछ वीएलएएन सक्षम स्विच के माध्यम से नेटवर्क भौतिक रूप से हमारे अंत में विभाजित है। एक छोर पर राउटर है तो दूसरी कंपनी कंट्रोल करती है।

मुझे इस नेटवर्क में उपयोग की जाने वाली मशीनों को अपनी कंपनी नेटवर्क तक पहुँचाने की आवश्यकता है। वास्तव में, उन्हें मेरे सक्रिय निर्देशिका डोमेन का हिस्सा बनाना अच्छा हो सकता है। उन मशीनों पर काम करने वाले लोग मेरी कंपनी का हिस्सा हैं। लेकिन - मुझे बाहरी प्रभाव से अपनी कंपनी नेटवर्क की सुरक्षा से समझौता किए बिना ऐसा करने की आवश्यकता है।

बाहरी रूप से नियंत्रित राउटर का उपयोग करके किसी भी प्रकार का राउटर इंटीग्रेशन इस विचार द्वारा किया जाता है

तो, मेरा विचार यह है:

• हम स्वीकार करते हैं IPv4 पता स्थान और नेटवर्क टोपोलॉजी इस नेटवर्क हमारे नियंत्रण में नहीं है।
• हम अपनी कंपनी के नेटवर्क में उन मशीनों को एकीकृत करने के लिए विकल्पों की तलाश करते हैं।

मैं जिन 2 अवधारणाओं के साथ आया, वे हैं:

• किसी प्रकार के वीपीएन का उपयोग करें - मशीनों को वीपीएन में लॉग इन करें। आधुनिक खिड़कियों का उपयोग करके उनके लिए धन्यवाद, यह पारदर्शी DirectAccess हो सकता है। यह अनिवार्य रूप से अन्य आईपी स्थान को किसी भी रेस्तरां नेटवर्क से अलग नहीं मानता है, जिसमें कंपनी का लैपटॉप जाता है।
• वैकल्पिक रूप से - इस ईथरनेट खंड में IPv6 रूटिंग स्थापित करें। लेकिन - और यह एक चाल है - स्विच में सभी IPv6 पैकेट को ब्लॉक करें इससे पहले कि वे तीसरे पक्ष के नियंत्रित राउटर को मारते हैं, ताकि भले ही वे IPv6 को उस चीज़ पर चालू करें (अब उपयोग नहीं किया जाता है, लेकिन वे ऐसा कर सकते हैं) उन्हें नहीं मिलेगा एक पैकेट। स्विच अच्छी तरह से कर सकता है कि उस बंदरगाह पर आने वाले सभी आईपीवी 6 ट्रैफ़िक को एक अलग वीएलएएन (ईथरनेट प्रोटोकॉल प्रकार के आधार पर) में खींचकर।

किसी को भी IPv6 से बाहरी को अलग करने के लिए स्विच का उपयोग करने के साथ कोई समस्या दिखाई देती है? कोई सुरक्षा छेद? यह दुख की बात है कि हमें इस नेटवर्क के साथ शत्रुतापूर्ण व्यवहार करना पड़ता है - यह बहुत आसान होगा - लेकिन इसमें सहायक कर्मचारी "ज्ञात संदिग्ध गुणवत्ता" के हैं और कानूनी पक्ष स्पष्ट है - जब हम उन्हें अपनी कंपनी में एकीकृत करते हैं तो हम अपने दायित्वों को पूरा नहीं कर सकते हैं। जब वे एक अधिकार क्षेत्र में होते हैं, तो हमारे पास ऐसा नहीं होता है।

यह एक ऐसी स्थिति है जिसे मैंने अक्सर चलाया है, और मैं हमेशा एक ही काम करता हूं: IPSec।

क्या यह आपके लिए काम करता है, इस पर निर्भर है कि क्या उनके नेटवर्क और आपके बीच एक IPv4 ओवरलैप है, जो आप नहीं कहते हैं। लेकिन मुझे पता है कि आपके पास कोई सुराग है, और अगर यह अतिरिक्त बाधा थी, तो मुझे लगता है कि आपने इसका उल्लेख किया होगा, तो चलो अब मान लेते हैं कि कोई ओवरलैप नहीं है।

PSK प्रमाणीकरण का उपयोग करके, उनके कोर राउटर और आपके बीच एक IPSec सुरंग स्थापित करें। अधिकांश अच्छे राउटर इसे बोलेंगे, और ऐसा करना मुश्किल नहीं है। एक बार आपके पास एक सुरंग होने के बाद, आप किसी भी पैकेट की पहचान पर भरोसा कर सकते हैं जो इसे नीचे आता है ( ध्यान दें : मैं यह नहीं कह रहा हूं कि आप पैकेट की सामग्री पर भरोसा कर सकते हैं, केवल आप यह सुनिश्चित कर सकते हैं कि वे वास्तव में संभावित रूप से आते हैं- शत्रुतापूर्ण साथी)।

तो फिर आप सुरंग से बाहर आने वाले ट्रैफ़िक तक पहुँच फ़िल्टर लागू कर सकते हैं, और ठीक से प्रतिबंधित कर सकते हैं कि आपके नेटवर्क पर वे कौन से मेजबान हैं जिनके पास पहुँचने की क्षमता है, और किन बंदरगाहों पर, और किस मशीन से (जो कि उनके बाद के प्रतिबंध हैं) इससे कम उपयोगी नहीं है क्योंकि आपके नेटवर्क पर उपकरण दुर्भावनापूर्ण रूप से आपके पते तक पहुँच के अधिकार को बढ़ाने के लिए आईपी पते बदल रहे हैं) इस पर कोई नियंत्रण नहीं है।

नेटवर्क को जोड़ना, उनके अंत में किसी भी यादृच्छिक विश्वसनीय ग्राहक के बजाय एक व्यक्तिगत वीपीएन क्लाइंट का उपयोग करना, मेरे अनुभव में बेहतर काम करता है, कम से कम नहीं क्योंकि आप या तो एक पूर्णकालिक नौकरी प्रबंधन क्लाइंट एक्सेस टोकन के साथ समाप्त करेंगे - नए जारी करना, पुराने लोगों को निरस्त करना, उन्हें कॉपी करने वाले लोगों के बारे में बड़बड़ाते हुए या जनादेश के पतन से निपटने के लिए कि किसी भी टोकन का उपयोग केवल एक बार किया जा सकता है - या आप एक टोकन जारी करेंगे जिसका सभी लोग उपयोग करेंगे, और आपने इसका उपयोग करने वाले पर कोई नियंत्रण खो दिया होगा और वे कहां से यह प्रयोग कर रहे हैं । इसका मतलब यह भी है कि जटिलता कोर में है, जहां यह सबसे अच्छा प्रबंधित है।

मैं अपने नेटवर्क और PHP के उन लोगों के बीच कुछ ऐसी सुरंगें बना चुका हूं, जो एक दशक से चल रही हैं, और वे सिर्फ उनका काम करते हैं। समय-समय पर किसी को हमारे अंत में कुछ नए देव बॉक्स या अन्य संसाधन तक पहुंचने में सक्षम एक नई मशीन की आवश्यकता होती है, और यह एक इंटरफ़ेस एक्सेस सूची में एक सरल परिवर्तन है, एक लाइन मेरे अपने किट को ठीक करती है जो मैं कर सकता हूं सेकंड में, और सब कुछ काम कर रहा है। कोई ग्राहक स्थापित नहीं करता है। कोई समापन बिंदु जटिलताओं बिल्कुल नहीं।

मुझे v6 विचार आकर्षक लगता है, लेकिन मुझे संदेह है कि यह चट्टानों पर चलेगा जब कुछ v4- केवल क्लाइंट, या v6 बग के साथ कुछ गड़बड़ हो जाता है क्योंकि यह बहुत अप्रयुक्त है, साथ आता है और वास्तव में-वास्तव में बहुत सुंदर-कृपया उपयोग की आवश्यकता है आपके नेटवर्क संसाधनों के लिए।