Come proteggere una LAN dalla WAN con qualche tipo di autenticazione

1

abbiamo una rete locale in cui vengono eseguiti alcuni servizi. Attualmente non sono connessi a Internet. Ma ora vogliamo essere in grado di raggiungere quei server da internet. Dato che questi servizi sono in fase di sviluppo e hanno una sorta di dati sensibili, vogliamo un concetto di rete sicuro e facile da usare.

Abbiamo pensato a qualcosa del genere: da internet è possibile accedere a un sito web come secure-example.com. Se si accede a questa pagina, l'utente deve accedere e vedrà e avrà accesso a tutti i servizi. D'altra parte è possibile accedere come serviceone.secure-example.com, è necessario effettuare il login e avere accesso diretto al servizio.

Ho pensato che una sorta di DMZ o DNS ALG avrebbe dovuto fare il trucco, ma non ne sono sicuro.

    
posta Zeekrey 02.03.2018 - 22:19
fonte

1 risposta

1

Generalmente, questo viene fatto con una sorta di host bastion che ha accesso a entrambe le reti (internet e intranet). Nel modo più semplice, si consente l'accesso SSH all'host bastion (solo per utenti autenticati, ovviamente) e quindi le persone eseguono il tunnel attraverso il bastione per raggiungere gli host interni. Ciò richiede però la configurazione di tunnel SSH, che non è sempre conveniente o facile da usare. Un'alternativa è avere un'app web di accesso sul bastione (o anche solo usare qualcosa come l'autenticazione reciproca TLS con i certificati client), e dopo che l'utente è autenticato il bastione agisce come un proxy invisibile o inverso, prendendo richieste per il back- ospitare gli host e ottenere le loro risposte, quindi trasferire tali risposte agli utenti (autenticati) tramite una connessione protetta (probabilmente solo HTTPS, a meno che non si stia utilizzando un protocollo non HTTP, nel qual caso potrebbe essere necessario diventare fan).

È anche possibile utilizzare un server VPN per collegarsi alla rete intranet. Gli utenti si autenticano sulla VPN, dopodiché è praticamente come se si trovassero sulla stessa rete locale su cui si trova il server VPN (cioè lo stesso dei servizi interni) finché il tunnel VPN non viene chiuso o interrotto. Esistono numerose tecnologie VPN e non sono tutte ugualmente sicure (qualsiasi cosa utilizzi MS-CHAPv2, ad esempio, è piuttosto facile da interrompere), ma la maggior parte dei sistemi operativi supporta un certo numero di tecnologie VPN fuori dagli schemi, e c'è anche un terzo -party software come OpenVPN (F / LOSS) o varie opzioni commerciali.

Il server bastion host / VPN, essendo un ponte tra reti sensibili e non attendibili, dovrebbe ovviamente essere il più duro possibile. Non eseguire altri servizi su di esso del necessario (un buon consiglio per qualsiasi server, in realtà), mantenere la logica del programma in esecuzione su di essa minima (per ridurre al minimo la superficie di attacco, senza necessità di fantasia), e così via. Tienilo aggiornato, mantieni i registri di controllo e tutte quelle cose buone.

    
risposta data 03.03.2018 - 01:11
fonte

Leggi altre domande sui tag