Alternativa alla VPN

Naviga le tue risposte
10

Abbiamo una rete completamente chiusa al mondo esterno. Deve essere. Il problema è che abbiamo bisogno di remotare in un server su questa rete una volta in una luna blu per la diagnostica.

Abbiamo discusso dei modi per fare questo e un metodo approvato da alcuni è di avere un router che è alimentato da un dispositivo che taglierebbe energia quando non è in uso, ma quando necessario potremmo telefonarci e abilitare il potere per l'accesso temporaneo tramite VPN.

Quale altra alternativa potremmo usare per isolare completamente la rete a meno che non avessimo bisogno di fare 20 minuti di diags?

    
posta Chef Flambe 06.05.2013 - 18:48
fonte

7 risposte

9

Non farlo . È una rete isolata per un motivo, se è necessario l'accesso farlo sul posto, non in remoto in modo da poter monitorare e chiudere l'accesso localmente. Come cito Adnan perché usi reti isolate:

You don't isolate your network because you're afraid that someone will guess the right passwords. You're afraid of the human factor, the leakage of the passwords. You're afraid of the software itself, 0-day exploits*

Telefonare per alimentare il router è una sequenza automatica. In ogni caso, una minaccia persistente avanzata troverà e sfrutterà questa sequenza automatizzata per aprire ciò che è in effetti una backdoor alla rete .

L'aggiunta di un sistema di attivazione del router aumenta la complessità del sistema; espone anche la rete alla selvaggia Internet. Se i sistemi non vengono sistemati regolarmente (come nel solito caso con ménageries airgapped isolati), esiste una strong possibilità di perdere un CVE critico o uno zero-day e di essere pwnato entro 5-10 minuti dall'apertura per la diagnostica.

    
risposta data 06.05.2013 - 19:11
fonte
5

Il modo standard di "vecchia scuola" per fare questo genere di cose era di avere un modem dial-up che veniva spento tutto il tempo tranne quando era necessario il supporto, a quel punto sarebbe stato sollevato un record di modifiche per essere abilitato, la persona di supporto remoto accederà al modem e quindi alla fine del lavoro verrà nuovamente spento.

L'elemento manuale (controllo modifiche, interruttore di accensione fisica) fornisce alcuni controlli e traccia di controllo del motivo per cui è stato utilizzato e riduce il rischio che qualcuno lasci il modem acceso (anche se c'è sempre il rischio che le persone diventino pigre, ma poi ecco perché abbiamo i revisori :))

Un equivalente moderno potrebbe essere quello di connettere un cavo a un router quando viene sollevata una richiesta di modifica e di farlo ritirare quando il lavoro è stato completato o dopo che è trascorso un periodo di tempo massimo impostato.

Questo naturalmente richiede che ci sia qualcuno sul posto che può effettuare la connessione / disconnessione via cavo e che esiste anche un solido processo di controllo delle modifiche. Ovviamente niente di tutto ciò annulla la necessità che la soluzione di accesso remoto sia protetta e configurata. Un rischio con i dispositivi usati raramente come questa soluzione potrebbe essere che le persone dimenticano di correggerle ...

    
risposta data 07.05.2013 - 14:01
fonte
4

Hai una rete che vuoi mantenere isolata, ma hai in programma di ridurre un po 'il livello di isolamento. Penso che la domanda più importante che devi porsi in questo frangente sia: "Isolati da cosa?"

Supponiamo che tu esegua un servizio VPN esposto a Internet che conduce a questa rete altrimenti isolata. È probabile che sia un software ben scritto che ha visto tonnellate di analisi. È possibile implementarlo con protezioni estese inclusi filtri di rete, controllo di accesso obbligatorio, allarmi e tracce di controllo. Non è estremamente probabile, di per sé, ridurre il livello di isolamento.

Ora diamo un'occhiata all'immagine più grande. Chi o cosa si collegherebbe a questa ipotetica VPN? Rischiare che la risposta sia una workstation multi-funzione che esegue una pletora di software. Esplora il Web, apre gli allegati e-mail, esegue gli aggiornamenti software sulla rete. Questa macchina è la migliore amica del tuo avversario, una macchina praticamente impossibile da proteggere. Scommetto che in passato è stato addirittura fisicamente collegato alla rete "isolata". Offrirei che è questa bestia da cui desideri isolare la tua rete sensibile.

Ecco il mio punto: identifica le minacce da cui vuoi isolare e fallo. Tali minacce sono principalmente attacchi legati a Internet sulle workstation che verranno utilizzate per risolvere in remoto la rete sensibile. Raccomando una collezione dedicata di computer portatili che siano il minimo e indurito del tuo server VPN, per servire come unici client VPN autorizzati.

Sono sorpreso che molte delle altre risposte pensino che il problema sia risolto da colpi segreti, mantenendo disattivato il servizio di accesso remoto quando non è in uso, ecc. Tutti questi trucchi saranno eliminati la prossima volta che l'amministratore apre un PDF dannoso sul suo computer client VPN.

    
risposta data 07.05.2013 - 21:29
fonte
3

La risposta dipende da perché la rete è isolata e se consentire o meno l'accesso esterno è un problema. La tua rete deve essere conforme a qualsiasi standard e requisiti di sicurezza applicabili con la rete connessa e presumibilmente la scolleghi solo come ulteriore livello di sicurezza, non come requisito.

Inoltre, vale la pena notare che se un collegamento di rete non è esplicitamente pubblico, accesso anonimo, allora dovrebbe essere limitato e crittografato come una VPN, anche se non esiste alcun requisito tecnico per richiedere altrimenti esso.

Le VPN non devono essere tanto complesse quanto IPSec. Puoi invece usare qualcosa come il port forwarding SSH. Ma non butterei via l'idea di spegnere l'endpoint quando non è in uso.

    
risposta data 08.05.2013 - 03:44
fonte
2

L'approccio del router da remoto (o localmente) ha senso, ma crea un modo all'interno che deve essere protetto.

I rischi di questo approccio sono che qualcuno impara o perde le informazioni sul numero di telefono - o forse qualcuno chiama per sbaglio (o tramite wardialing, à la Wargames ) - e il router rimane alimentato.

Quindi direi che

  • il router non può essere alimentato solo da "una telefonata". Proprio alla fine il dispositivo deve riconoscere il numero (i) chiamante e / oi contenuti di un SMS con una password (che dovrà essere mantenuta e aggiornata come tutte le altre password).
  • come miglioramento di quanto sopra, l'SMS potrebbe anche specificare l'intervallo IP accettare le connessioni in entrata da.
  • qualunque cosa sia accaduta deve essere registrata ed eventualmente verificata con un registro o programma di controlli di manutenzione, in modo che possa essere rilevata un'anomalia.
  • 20 minuti di chiamate non sono un carico di dati così grande. Il router potrebbe quindi anche registrare e memorizzare l'intero traffico, nel caso in cui.

Con componenti disponibili in commercio, è possibile configurare un sistema di accesso remoto SMS con l'equivalente hardware di un PC, una scheda SMS / modem, una scheda relè e un router, che ha un elenco di telefoni consentiti numeri. In questo scenario il router sarebbe sempre acceso (per la programmazione del firewall, la manutenzione, gli aggiornamenti del firmware e controlli di routine), ma la connessione verso l'esterno sarebbe fisicamente scollegata attraverso la scheda relè. Il flusso di lavoro sarebbe:

  • la scheda SMS riceve un SMS
  • il sistema "guardian" analizza l'SMS e convalida il numero del mittente, il contenuto del testo e l'intervallo IP richiesto
  • il sistema "guardian" esegue controlli diagnostici sul router e crea e carica la nuova rotta
  • il sistema "guardian" apre una shell SSH sull'interfaccia del router
  • la scheda relè collega fisicamente la linea dati in entrata del router
  • l'utente dall'intervallo IP consentito può ora accedere all'accesso SSH

Inoltre:

  • il sistema "guardian" controlla la connessione per timeout, problemi e altre anomalie. Ci dovrebbe anche essere un tempo massimo dopo il quale il router è disconnesso, non importa quale. E infine, quando "disconnesso", il guardiano controllerebbe che la rotta fosse effettivamente fisicamente interrotta interrogando la diagnostica del router.

(Se lo si voleva, il sistema "guardian" poteva anche essere costituito da due sistemi indipendenti, uno con tutto quanto sopra tranne il server SSH, l'altro che fungeva da firewall all'interno della rete. potrebbe quindi annusare tutto il traffico e non ci potrebbe essere modo di accedervi tranne che da una console locale)

UPDATE la maggior parte di quanto sopra è (quasi) prontamente disponibile utilizzando scripting su un dispositivo Android che offre un punto di accesso. Un SMS proveniente da una fonte approvata attiva il collegamento dati, il punto di accesso WiFi e un aggiornamento DynDNS. Quindi un IP diventerà disponibile per eseguire una shell (e una VPN), anche se la velocità dei dati sarebbe limitata a quella disponibile per il gestore telefonico.

    
risposta data 07.05.2013 - 14:55
fonte
1

Il trasporto privato virtuale Shelloid (VPT) consente di concedere l'accesso al servizio senza fornire l'accesso alla rete come le VPN. Puoi semplicemente condividere il servizio quando ne hai bisogno e annullarlo in un secondo momento (una volta che le nostre API sono a posto puoi scrivere un cron job per farlo automaticamente). VPT è open source ( link ).

Disclaimer: sono il fondatore di Shelloid e guida il progetto VPT.

    
risposta data 21.08.2014 - 21:17
fonte
0

Alcune idee veloci.

  1. L'idea con SMS o telefonata con password è buona.
  2. usa il router virtuale invece di quello fisico. Il router virtuale potrebbe essere avviato e interrotto senza necessità di gestire l'alimentazione.
  3. Usa qualcosa come il connettore M2M dalla tua rete sicura ad alcuni cloud affidabile. Quindi i dati e i comandi dovrebbero essere tirati da rete isolata dal potrebbe piuttosto che spinta dall'esterno.
risposta data 17.01.2014 - 09:26
fonte

Leggi altre domande sui tag

Perché la chiave pubblica del soggetto non viene utilizzata per la crittografia in SSL? [duplicare] Uso del computer aziendale da casa: quanto possono vedere sul desktop?