¿Cómo manejar una oficina remota y un cliente que requiere una lista blanca de IP?

Navega tus respuestas
2

Desarrollador .NET aquí, fuera de mi zona de confort en este.

Mi compañía de software se está volviendo remota, donde los empleados pueden trabajar desde casa, Starbucks, una oficina de Regus, España, en cualquier lugar. Uno de nuestros clientes requiere una lista blanca de IP para acceder a sus servidores, por lo que me pregunto cómo podemos evitar tener que enviarles nuevas IP a la lista blanca todos los días.

No estamos buscando anunciar este movimiento comercial a nuestros clientes, por lo que idealmente, me gustaría encontrar una solución que requiera poco o ningún esfuerzo por parte de nuestros clientes.

Alguien aquí que ha estado en una situación similar, ¿cómo resolvió este dilema?

Gracias.

    
pregunta kmdsax 23.06.2015 - 23:59
fuente

1 respuesta

4

No estoy seguro de si esta es realmente una pregunta de seguridad de la información per se o más sobre una red general; pero aquí va:

Si tiene una cantidad de IP dinámicas conectándose a un cliente que requiere listas blancas, esto hará que tenga que hacer ping constantemente al cliente para actualizar las ACL para permitir las IP a medida que cambian. Mientras que en las conexiones residenciales modernas esto ocurre con poca frecuencia, es suficiente como para ser una interrupción.

La forma en que la mayoría de las empresas tratan esto es establecer un host de bastión o una VPN.

The Bastion Host

Un host bastion es un servidor seguro y reforzado al que se conectan usuarios autorizados. Su función es permitir que estos usuarios se alejen de él y luego "rebotar" para conectarse a otros servidores seguros. Por supuesto, el host bastion tendría una IP estática (podría ser un servidor en la nube, por ejemplo).

Ahora, esto es útil para SSH, Escritorio remoto o conexiones similares, pero cuando se necesita una conectividad de red más robusta, una VPN suele ser la solución adecuada.

La VPN de túnel completo o dividido

Una VPN de túnel completo es una conexión VPN que hace que todo el tráfico del cliente VPN pase por la VPN. Por lo tanto, todos los hosts / sitios web remotos ven el tráfico proveniente de la IP del concentrador de VPN y no del usuario final.

Puede establecer un VPN de túnel completo en su sitio y hacer que los usuarios se conecten a él. Luego, se pueden conectar normalmente al servidor del cliente. El servidor del cliente solo puede incluir en la lista blanca la dirección IP pública de su VPN y, por lo tanto, cualquier usuario conectado a la VPN de túnel completo será incluido en la lista blanca y podrá establecer conectividad.

Este sistema tiene inconvenientes ya que puede causar conexiones lentas en el lado del usuario final y ralentizar la conexión a Internet del concentrador de VPN. También puede configurar la VPN para que sea "túnel dividido" y solo enviar cierto tráfico a través de él. En este caso, puede especificar que el tráfico a las direcciones IP o rango de los servidores del cliente pase por la VPN, mientras que el resto del tráfico de Internet pasa por la conexión normal de Internet sin atravesar la VPN. Esto conservará el ancho de banda en el lado de la VPN y llevará a una conectividad a Internet más rápida para los usuarios conectados a la VPN.

    
respondido por el Herringbone Cat 24.06.2015 - 00:15
fuente

Lea otras preguntas en las etiquetas

Invirtiendo el cifrado analizando el ejecutable Compartir clave única derivada derivada por transacción (DUKPT) Clave de derivación base (BDK) con un socio