Alternativa a VPN

10

Tenemos una red que está completamente cerrada al mundo exterior. Necesita ser. El problema es que necesitamos hacer un control remoto de un servidor en esta red una vez en una luna azul para realizar diagnósticos.

Hemos discutido formas de hacer esto y un método aprobado por algunos es tener un enrutador que funcione con un dispositivo que corte la energía cuando no esté en uso, pero cuando sea necesario podríamos llamar por teléfono y habilitar la energía. para acceso temporal a través de una VPN.

¿Qué otra alternativa podríamos usar para aislar totalmente la red a menos que necesitáramos hacer 20 minutos de diagnósticos?

    
pregunta Chef Flambe 06.05.2013 - 18:48
fuente

7 respuestas

9

No lo hagas . Es una red aislada por una razón, si necesita acceso, hágalo en el sitio, no de forma remota para que también pueda monitorear y cerrar el acceso localmente. Como cito a Adnan por qué usas redes aisladas:

  

No aislas tu red porque temes que alguien adivine las contraseñas correctas. Tienes miedo del factor humano, la fuga de las contraseñas. Tienes miedo del software en sí, explotaciones de 0 días *

Llamar por teléfono para alimentar el enrutador es una secuencia automatizada. De cualquier manera, una amenaza persistente avanzada va a encontrar y explotar esta secuencia automatizada para abrir lo que en efecto es una puerta trasera a la red .

Agregar un sistema de activación de enrutador aumenta la complejidad del sistema; También expone la red a la salvaje Internet salvaje. Si los sistemas no son parcheados regularmente (como es el caso habitual con dispositivos aislados con airgapped), existe una gran posibilidad de que falte un CVE crítico o un día cero y que se ofrezcan dentro de los 5-10 minutos de la apertura para el diagnóstico. >     

respondido por el Lucas Kauffman 06.05.2013 - 19:11
fuente
5

La forma estándar "de la vieja escuela" de hacer este tipo de cosas era tener un módem de acceso telefónico que se apagara todo el tiempo, excepto cuando se necesitaba asistencia, momento en el que se generaría un registro de cambios para que sea habilitado, la persona de soporte remoto accedería al módem y, al final del trabajo, se apagaría nuevamente.

El elemento manual (control de cambios, interruptor de encendido físico) le proporciona cierto control y pista de auditoría de por qué se ha utilizado y reduce el riesgo de que alguien deje el módem encendido (aunque siempre existe el riesgo de que las personas se vuelvan perezosas, pero luego por eso tenemos auditores :))

El equivalente moderno podría ser conectar un cable a un enrutador cuando se genera una solicitud de cambio y que se vuelva a extraer cuando se haya completado el trabajo o después de que haya transcurrido un período de tiempo máximo establecido.

Esto, por supuesto, requiere que haya alguien en el lugar que pueda hacer la conexión / desconexión del cable y también que exista un sólido proceso de control de cambios. Por supuesto, nada de esto anula el requisito de que la solución de acceso remoto esté configurada y configurada de forma segura. Un riesgo con dispositivos raramente usados como podría ser esta solución es que la gente se olvide de parchearlos ...

    
respondido por el Rоry McCune 07.05.2013 - 14:01
fuente
4

Tienes una red que quieres mantener aislada, pero estás planeando reducir un poco ese nivel de aislamiento. Creo que la pregunta más importante que debe hacerse en este momento es: "¿Aislado de qué?"

Supongamos que ejecuta un servicio VPN expuesto a Internet que conduce a esta red por lo demás aislada. Es probable que sea un software bien escrito que ha visto un montón de análisis. Puede implementarlo con amplias medidas de seguridad que incluyen filtros de red, control de acceso obligatorio, alarmas y pistas de auditoría. No es extremadamente probable, en sí mismo, reducir su nivel de aislamiento.

Ahora veamos la imagen más grande. ¿Quién o qué se estaría conectando a esta VPN hipotética? Me arriesgaría a que la respuesta sea una estación de trabajo multipropósito que ejecute una gran cantidad de software. Navega por la web, abre archivos adjuntos de correo electrónico, ejecuta actualizaciones de software a través de la red. Esta máquina es el mejor amigo de tu adversario, una máquina que es básicamente imposible de mantener segura. Apostaría a que en el pasado incluso se ha vinculado físicamente a la red "aislada". Le ofrecería que es esta bestia de la que desea aislar su red sensible.

Este es mi punto: identifica las amenazas de las que quieres aislarte y hazlo. Estas amenazas son en su mayoría ataques a través de Internet en las estaciones de trabajo que se utilizarán para solucionar problemas de forma remota en la red sensible. Recomiendo una colección dedicada de computadoras portátiles que sean tan mínimas y resistentes como su servidor VPN, para que sirvan como los únicos clientes VPN autorizados.

Me sorprende que muchas de las otras respuestas piensen que el problema se resuelve por medio de golpes secretos, manteniendo el servicio de acceso remoto deshabilitado cuando no está en uso, etc. Todos estos trucos serán eliminados la próxima vez que su administrador abra un PDF malicioso. en su máquina cliente VPN.

    
respondido por el ruief 07.05.2013 - 21:29
fuente
3

La respuesta depende de por qué la red está aislada y si permitir o no el acceso externo es un problema. Su red debe cumplir con las normas de seguridad y los requisitos aplicables con la red conectada , y presumiblemente solo la desconectará como una capa adicional de seguridad, no como un requisito.

Además, vale la pena señalar que si un enlace de red no es explícitamente para el acceso público y anónimo, entonces debería estar restringido y encriptado como una VPN, aunque no exista un requisito técnico para exigirlo. eso.

Las VPN no necesitan ser tan increíblemente complejas como IPSec. En su lugar, puede utilizar algo como el reenvío de puertos SSH. Pero no descartaría la idea de apagar el punto final cuando no esté en uso.

    
respondido por el tylerl 08.05.2013 - 03:44
fuente
2

El enfoque del enrutador con alimentación remota (o local) tiene sentido, pero crea un camino hacia el interior que debe ser protegido.

Los riesgos de este enfoque es que alguien aprende o filtra la información sobre el número de teléfono, o tal vez alguien llama por error (o a través de la rellamada, a la Wargames ) y el enrutador se deja. accionado.

Así que diría que

  • el enrutador no se puede alimentar simplemente con "una llamada telefónica". Por lo menos el dispositivo debe reconocer el (los) número (s) de llamada y / o el contenido de un SMS con una contraseña (que deberá ser mantenido y actualizado como todas las demás contraseñas).
  • como una mejora de lo anterior, el SMS también puede especificar el rango de IP para aceptar conexiones entrantes de.
  • lo que sucedió debe registrarse y, posiblemente, compararse con un registro o programa de verificaciones de mantenimiento, para que se pueda detectar una anomalía.
  • 20 minutos de llamada no es una carga de datos tan grande. El enrutador podría entonces también registra y almacena todo el tráfico, por si acaso.

Con los componentes disponibles en el mercado, se puede configurar un sistema de marcación por SMS con el equivalente en hardware de una PC, una placa / módem SMS, una placa de relé y un enrutador, que tiene una lista de teléfonos permitidos números. En este caso, el enrutador estaría encendido en todo momento (para la programación del firewall, el mantenimiento, las actualizaciones de firmware y tales comprobaciones de rutina), pero la conexión con el exterior se desconectaría físicamente a través de la placa de relés. El flujo de trabajo sería:

  • la placa de SMS recibe un SMS
  • el sistema "guardián" analiza los SMS y valida el número del remitente, el contenido del texto y el rango de IP solicitado
  • el sistema "guardián" realiza verificaciones de diagnóstico en el enrutador y construye y sube la nueva ruta
  • el sistema "guardián" abre un shell SSH en la interfaz del enrutador
  • la placa de relés conecta físicamente la línea de datos de entrada del enrutador
  • el usuario del rango de IP permitido ahora puede acceder al inicio de sesión de SSH

También:

  • el sistema "guardián" supervisa la conexión en busca de tiempos de espera, problemas y otras anomalías. También debe haber un tiempo máximo después del cual el enrutador se desconecta sin importar qué. Y finalmente, cuando está "desconectado", el guardián verificará que la ruta esté realmente inactiva al interrogar los diagnósticos del enrutador.

(Si uno quisiera, el sistema "guardián" podría incluso estar formado por dos sistemas independientes, uno con todos los anteriores, excepto el servidor SSH, el otro que actúa como cortafuegos en el interior de la red. El primer sistema luego podría detectar todo el tráfico y no podría haber manera de acceder a él excepto desde una consola local)

ACTUALIZACIÓN La mayoría de los anteriores están (casi) fácilmente disponibles mediante scripting en un dispositivo Android que ofrece un punto de acceso. Un SMS de una fuente aprobada activará el enlace de datos, el punto de acceso WiFi y una actualización DynDNS. Luego, una IP estará disponible para ejecutar un shell (y una VPN), aunque la velocidad de los datos estará limitada a la disponible para el proveedor de servicios telefónicos.

    
respondido por el LSerni 07.05.2013 - 14:55
fuente
1

Shelloid Virtual Private Transport (VPT) le permite otorgar acceso al servicio sin proporcionar acceso a la red como VPN. Simplemente puede compartir el servicio cuando lo necesite y volver a compartirlo después (una vez que nuestras API están en su lugar, puede escribir un trabajo cron para hacer esto automáticamente). VPT es de código abierto ( enlace ).

Descargo de responsabilidad: soy el fundador de Shelloid y lideré el proyecto VPT.

    
respondido por el Jayaraj 21.08.2014 - 21:17
fuente
0

Algunas ideas rápidas.

  1. La idea con SMS o llamada telefónica con contraseña es buena.
  2. utiliza enrutador virtual en lugar de uno físico. Enrutador virtual podría ser comenzó y se detuvo sin necesidad de administrar el suministro de energía.
  3. Use algo como el conector M2M de su red segura para algunos nube de confianza. Así que los datos y comandos deben ser tirados por Red aislada del poder en lugar de ser empujada desde el exterior.
respondido por el user37438 17.01.2014 - 09:26
fuente

Lea otras preguntas en las etiquetas