我在这里有一个小问题,我希望(需要)以令人满意的方式解决。我的公司有多个 (IPv4) 网络,由位于中间的路由器控制。典型的小型商店设置。现在有一个额外的网络具有我们控制之外的 IP 范围,通过我们控制之外的另一个路由器连接到互联网。将其称为项目网络,它是另一家公司网络的一部分,并通过他们设置的 VPN 进行组合。
这表示:
- 他们控制用于该网络的路由器,并且
- 他们可以重新配置事物,以便他们可以访问该网络中的机器。
网络通过一些支持 VLAN 的交换机在我们端进行物理拆分,因为它覆盖了三个位置。一端是另一家公司控制的路由器。
我需要/想要让此网络中使用的机器访问我的公司网络。事实上,让它们成为我的活动目录域的一部分可能会很好。在这些机器上工作的人是我公司的一部分。但是 - 我需要这样做,而不会损害我公司网络的安全性免受外部影响。
使用外部控制路由器的任何类型的路由器集成都被这个想法淘汰了
所以,我的想法是这样的:
- 我们接受 IPv4 地址空间,并且此网络中的网络拓扑不受我们控制。
- 我们寻求将这些机器集成到我们公司网络中的替代方案。
我提出的两个概念是:
- 使用某种 VPN - 让机器登录 VPN。感谢他们使用现代窗口,这可能是透明的 DirectAccess。这本质上对待其他 IP 空间与公司笔记本电脑进入的任何餐厅网络没有什么不同。
- 或者 - 建立到该以太网段的 IPv6 路由。但是 - 这是一个技巧 - 在它们到达第三方控制的路由器之前阻止交换机中的所有 IPv6 数据包,这样即使他们在那个东西上打开 IPv6(现在不使用,但他们可以这样做)他们也不会得到一个数据包。交换机可以通过将所有进入该端口的 IPv6 流量拉入单独的 VLAN(基于以太网协议类型)来很好地做到这一点。
任何人都看到使用他的开关将外部与 IPv6 隔离的问题?有安全漏洞吗?很遗憾,我们不得不将这个网络视为敌对 - 会容易得多 - 但那里的支持人员“质量可疑”,而且法律方面很清楚 - 当我们将他们整合到我们的公司时,我们无法履行我们的义务虽然他们在管辖范围内,但我们没有发言权。
这是我经常遇到的情况,而且我几乎总是做同样的事情:IPSec。
它是否适合你取决于他们的网络和你的网络之间是否存在 IPv4 重叠,你没有说。但我知道你有线索,如果还有这个额外的障碍,我想你已经提到过,所以我们现在假设没有任何重叠。
使用 PSK 身份验证在他们的核心路由器和您的核心路由器之间建立一个 IPSec 隧道。大多数优秀的路由器都会说,这并不难。一旦你有了一个隧道,你就可以相信任何通过它的数据包的身份(注意:我并不是说你可以相信数据包的内容,只是你可以确定它们确实来自潜在地-敌对伙伴)。
因此,您可以将访问过滤器应用于来自隧道的流量,并精确限制他们能够访问网络上的哪些主机,以及在哪些端口上,以及从哪台机器上(尽管后一个限制是不太有用,因为您无法控制其网络上的设备是否恶意更改其 IP 地址以提升其对您的访问权限)。
根据我的经验,链接网络,而不是让任何随机受信任的客户端在其终端使用单独的 VPN 客户端,效果更好,尤其是因为您最终将获得一份管理客户端访问令牌的全职工作 - 发布新的,撤销旧的,抱怨人们复制它们或处理强制任何令牌只能使用一次的后果 - 或者你将发行一个每个人都会使用的令牌,你将失去对谁使用它的任何控制权并且他们从哪里使用它。这也意味着复杂性在核心,它是最好的管理。
在我的网络和 PHP 的网络之间,我有一些这样的隧道,运行了十年,他们只是做他们的事。有时有人需要一台新机器来访问我们端的一些新开发盒或其他资源,这是对接口访问列表的简单更改,我可以对我自己的工具包进行单行修复在几秒钟内,一切正常。没有安装客户端。完全没有终点并发症。
我发现 v6 的想法很吸引人,但我怀疑当一些仅 v4 的客户端,或者由于未经测试而充满 v6 错误的东西出现并且真的非常非常非常漂亮 - 请需要访问权限时,它会遇到困难到您的网络资源。