Cómo proteger una LAN de WAN con algún tipo de autenticación

Navega tus respuestas
1

tenemos una red local donde se ejecutan algunos servicios. Actualmente no están conectados a internet. Pero ahora queremos poder llegar a esos servidores desde internet. Dado que esos servicios están en desarrollo y tienen algún tipo de datos sensibles, queremos un concepto de red seguro y fácil de usar.

Pensamos en algo como eso: desde Internet puede acceder a un sitio web como secure-example.com. Si accede a esta página, el usuario debe iniciar sesión y verá y tendrá acceso a todos los servicios. Por otro lado, puede acceder como serviceone.secure-example.com, necesita iniciar sesión y tener acceso directo al servicio.

Pensé que algún tipo de DMZ o DNS ALG debería hacer el truco pero no estoy seguro de eso.

    
pregunta Zeekrey 02.03.2018 - 22:19
fuente

1 respuesta

1

En general, esto se hace con algún tipo de host de bastión que tiene acceso a ambas redes (internet e intranet). De la forma más sencilla, permite que SSH acceda al host bastion (solo para usuarios autenticados, por supuesto) y luego las personas hacen un túnel a través del bastion para llegar a los hosts internos. Sin embargo, eso requiere configurar túneles SSH, lo que no siempre es conveniente o fácil de usar. Una alternativa es tener una aplicación web de inicio de sesión en el bastión (o incluso simplemente usar algo como la autenticación mutua TLS con certificados de cliente), y una vez que el usuario se autentica, el bastión actúa como un proxy invisible o inverso, tomando las solicitudes destinadas a la parte posterior. finalice los hosts y obtenga sus respuestas, luego devuelva esas respuestas a los usuarios (autenticados) a través de una conexión segura (probablemente solo HTTPS, a menos que esté usando un protocolo no HTTP, en cuyo caso tendrá que ser más elegante).

También puede usar un servidor VPN para establecer un puente en la intranet. Los usuarios se autentican en la VPN, después de lo cual es básicamente como si estuvieran en la misma red local en la que está el servidor VPN (es decir, el mismo que sus servicios internos) hasta que el túnel VPN se cierre o se rompa. Hay una serie de tecnologías VPN y no todas son igual de seguras (todo lo que usa MS-CHAPv2, por ejemplo, es bastante fácil de romper), pero la mayoría de los sistemas operativos admiten una serie de tecnologías VPN listas para usar, y también hay una tercera - software de partes como OpenVPN (F / LOSS) o varias opciones comerciales.

El bastidor / servidor VPN del bastión, al ser un puente entre redes sensibles y no confiables, debería, por supuesto, ser lo más sólido posible. No ejecute más servicios en él de los necesarios (un buen consejo para cualquier servidor, en realidad), mantenga la lógica del programa ejecutándose en un nivel mínimo (para minimizar la superficie de ataque; no es necesario hacerlo por fantasía), y así sucesivamente. Manténgalo actualizado, mantenga registros de auditoría y todas esas cosas buenas.

    
respondido por el CBHacking 03.03.2018 - 01:11
fuente

Lea otras preguntas en las etiquetas

¿Es posible la cadena ROP en 64 bits? ¿Qué tan confiable es usar el sensor de huellas digitales (iPhone / Android) para la aprobación de identidad?