?

Log in

No account? Create an account
 
 
30 December 2018 @ 04:42 am
Контроль-фричество на марше  
В продолжение этой темы: если бы мне нужно было сдизайнить сеть типичной компании с нуля, то, думаю, у меня вообще не было бы понятия "корпоративный LAN / вайфай". Был бы Private VLAN, из которого доступ был бы исключительно на VPN gateway (ну или ещё на Интернет, если мы хотим принимать гостей). Любой доступ к внутренним серверам компании - через VPN.

(Что куда лучше 802.1x, который предоставляет аутентификацию, но не защищает от перехвата трафика, его подделки, replay attacks).

Таким образом и любой трафик за пределами серверной комнаты защищён шифрованием, и правила доступа полностью привязаны к юзерской identity и её принадлежностям к разным группам, и user experience одинаковый, где бы юзер не находился - на работе, дома, в кафешке.

А если при этом для аутентификации использовать ключи в чипе TPM, то можно опознавать не только юзера, но и девайс, с которого он подключается, и строить политики по обоим этим критериям. Если какой-то станции нужен доступ для процессов, не связанных с конкретным юзером (скажем, Windows service) - никаких проблем, вводим правило лишь по девайсу. Опять же, ключ неизвлекаемый - им не поделишься, как паролем, его не потеряешь, как смарткарту (только вместе с устройством).

В общем, ye olde plain IP - лишь до VPN-гейта, а поверх - туннель, и между файерволлами - туннели, туннели, сорок тысяч одних туннелей.

Да, и каждый сервер - в собственный VLAN. Чтобы любой трафик через файерволлы тёк.
 
 
Current Music: The Sidh - Iridium (https://www.youtube.com/watch?v=amJ_WLmOKS0)
 
 
 
kaimor on January 1st, 2019 08:16 pm (UTC)
Да, если там будет постоянно открывающиеся сессии типа внутреннего CRM с аутентификацией по AD или веб приложение то любой файрвол загнётся.
Кот Муцийcat_mucius on January 1st, 2019 09:38 pm (UTC)
Ты их недооцениваешь. :-)
kaimor: Ураkaimor on January 2nd, 2019 06:32 am (UTC)
Ставить файрвол магистрального уровня для контроля внутреннего трафика это как то по-гусарски совсем :)