সংস্থাটিতে "প্রতিকূল" নেটওয়ার্ক - দয়া করে কোনও সুরক্ষা সেটআপ সম্পর্কে মন্তব্য করুন

13

আমার এখানে কিছুটা নির্দিষ্ট সমস্যা আছে যা আমি চাই (প্রয়োজন) একটি সন্তোষজনক উপায়ে সমাধান করা। আমার সংস্থার একাধিক (আইপিভি 4) নেটওয়ার্ক রয়েছে যা মাঝখানে বসে আমাদের রাউটার দ্বারা নিয়ন্ত্রিত হয়। সাধারণত ছোট ছোট দোকান সেটআপ set এখন আরও একটি অতিরিক্ত নেটওয়ার্ক রয়েছে যার একটি নিয়ন্ত্রণের আইপি রেঞ্জ OUTSIDE রয়েছে, আমাদের নিয়ন্ত্রণের অন্য রাউটারের সাথে ইন্টারনেটের সাথে সংযুক্ত। এটিকে এমন একটি প্রজেক্ট নেটওয়ার্ক বলুন যা অন্য সংস্থাগুলির একটি অংশ এবং তাদের সেট আপ করা ভিপিএন এর সাথে মিলিত।

এর অর্থ:

  • তারা এই রাউটারটি নিয়ন্ত্রণ করে যা এই নেটওয়ার্কের জন্য এবং ব্যবহৃত হয়
  • তারা জিনিসগুলিকে পুনরায় কনফিগার করতে পারে যাতে তারা এই নেটওয়ার্কের মেশিনগুলিতে অ্যাক্সেস করতে পারে।

নেটওয়ার্কটি কয়েকটি স্থানে ভিএলএএন সক্ষম স্যুইচগুলির মাধ্যমে শারীরিকভাবে বিভাজিত হয়েছে কারণ এটি তিনটি অবস্থান covers এক প্রান্তে রাউটারটি অন্য সংস্থা নিয়ন্ত্রণ করে।

আমার এই নেটওয়ার্কে ব্যবহৃত মেশিনগুলি আমার কোম্পানির নেটওয়ার্কে অ্যাক্সেস দেওয়ার দরকার / দিতে চাই। আসলে, তাদের আমার সক্রিয় ডিরেক্টরি ডোমেনের অংশ করা ভাল হতে পারে। এই মেশিনগুলিতে কাজ করা লোকেরা আমার সংস্থার অংশ। কিন্তু - বাইরের প্রভাব থেকে আমার সংস্থার নেটওয়ার্কের সুরক্ষার সাথে কোনও আপস না করে আমার এটি করা দরকার।

বাহ্যিকভাবে নিয়ন্ত্রিত রাউটার ব্যবহার করে যে কোনও ধরণের রাউটার সংহতকরণ এই ধারণার বাইরে by

সুতরাং, আমার ধারণাটি হ'ল:

  • আমরা এই নেটওয়ার্কে আইপিভি 4 অ্যাড্রেস স্পেস এবং নেটওয়ার্ক টপোলজি গ্রহণ করি তা আমাদের নিয়ন্ত্রণে নেই।
  • আমরা আমাদের কোম্পানির নেটওয়ার্কগুলিতে machines মেশিনগুলিকে সংহত করার বিকল্প চাই।

আমি যে দুটি ধারণাগুলি নিয়ে এসেছি সেগুলি হ'ল:

  • কোনও ধরণের ভিপিএন ব্যবহার করুন - মেশিনগুলি ভিপিএন-এ লগ ইন করুন। আধুনিক উইন্ডোজ ব্যবহার করে তাদের ধন্যবাদ, এটি স্বচ্ছ ডাইরেক্টঅ্যাক্সেস হতে পারে। এটি মূলত অন্য আইপি স্পেসের সাথে কোনও রেস্তোঁরা নেটওয়ার্কের চেয়ে আলাদা নয়, কোম্পানির একটি ল্যাপটপ প্রবেশ করে।
  • বিকল্পভাবে - এই ইথারনেট বিভাগে IPv6 রাউটিং স্থাপন করুন। তবে - এবং এটি একটি কৌশল - তৃতীয় পক্ষের নিয়ন্ত্রিত রাউটারটি আঘাত করার আগে সমস্ত আইপিভি 6 প্যাকেটগুলি স্যুইচটিতে ব্লক করুন, যাতে এমনকি যদি তারা সেই জিনিসটিতে আইপিভি 6 চালু করে (এখন ব্যবহৃত হয় না তবে তারা এটি করতে পারে) তারা পাবে না একটি প্যাকেট। সুইচটি সুন্দরভাবে এটি করতে পারে যে সেই বন্দরে আগত সমস্ত আইপিভি 6 ট্র্যাফিক একটি পৃথক ভিএলএএন (ইথারনেট প্রোটোকল টাইপের উপর ভিত্তি করে) এ টানতে পারে।

আইপিভি 6 থেকে বাইরেরটি আলাদা করতে ব্যবহার করে যে কেউ সমস্যা দেখছেন? কোন সুরক্ষা গর্ত? এটি অত্যন্ত দুঃখজনক যে আমাদের এই নেটওয়ার্কটিকে বৈরী হিসাবে বিবেচনা করতে হবে - এটি অনেক সহজ হবে - তবে সেখানে সমর্থনকারী কর্মীরা "জ্ঞাত সন্দেহজনক মানের" এবং আইনী দিকটি স্পষ্ট - আমরা যখন আমাদের সংস্থাগুলিতে সংহত করি তখন আমরা আমাদের দায়িত্ব পালন করতে পারি না যখন তারা একটি অধিক্ষেত্রের অধীনে থাকে তখন আমাদের বলার অপেক্ষা রাখে না।

security  network-design 
টমটম
সূত্র

উত্তর:

13

এটি এমন একটি পরিস্থিতি যার মধ্যে আমি প্রায়শই চলে এসেছি এবং আমি প্রায় সবসময় একই জিনিসটি করি: আইপিসেক।

এটি আপনার পক্ষে কাজ করে কিনা তার উপর নির্ভর করে তাদের নেটওয়ার্ক এবং আপনার নেটওয়ার্কের মধ্যে একটি আইপিভি 4 ওভারল্যাপ রয়েছে কিনা, যা আপনি বলবেন না। তবে আমি জানি যে আপনার কোনও ক্লু রয়েছে, এবং যদি এই অতিরিক্ত বাধা থাকত তবে আমি মনে করি আপনি এটি উল্লেখ করেছেন, তাই এখনই ধরে নেওয়া যাক যে কোনও ওভারল্যাপ নেই isn't

পিএসকে প্রমাণীকরণ ব্যবহার করে তাদের মূল রাউটার এবং আপনার মধ্যে একটি আইপিসেক টানেল সেট আপ করুন। বেশিরভাগ ভাল রাউটারগুলি এটি বলবে, এবং এটি করা কঠিন নয়। একবার আপনার কোনও স্থানে টানেল তৈরি হয়ে গেলে আপনি যে কোনও প্যাকেট নেমে এসেছেন তার পরিচয়টি আপনি বিশ্বাস করতে পারেন ( দ্রষ্টব্য : আমি বলছি না যে আপনি প্যাকেটের সামগ্রীতে বিশ্বাস রাখতে পারেন, কেবলমাত্র আপনি নিশ্চিত হতে পারেন যে তারা সম্ভবত সম্ভাব্য- শত্রু অংশীদার)।

সুতরাং আপনি টানেলটি বেরিয়ে আসা ট্র্যাফিকের জন্য অ্যাক্সেস ফিল্টারগুলি প্রয়োগ করতে পারেন এবং আপনার নেটওয়ার্কে কী হোস্টগুলি তাদের অ্যাক্সেসের ক্ষমতা রাখে এবং কোন বন্দরগুলিতে, এবং কোন মেশিন (গুলি) থেকে তাদের শেষ পর্যন্ত সীমাবদ্ধ রাখতে পারে (যদিও সেই পরে সীমাবদ্ধতা রয়েছে) কম কার্যকর কারণ আপনার নেটওয়ার্কে থাকা ডিভাইসগুলি আপনার শেষের অ্যাক্সেসের অধিকারগুলি উন্নত করার জন্য দূষিতভাবে থের আইপি ঠিকানাগুলি পরিবর্তন করছে কিনা তার উপর আপনার কোনও নিয়ন্ত্রণ নেই।

নেটওয়ার্কগুলির সাথে সংযোগ স্থাপনের পরিবর্তে কোনও এলোমেলো বিশ্বস্ত ক্লায়েন্টকে তাদের পৃথক ভিপিএন ক্লায়েন্ট ব্যবহার করার পরিবর্তে আমার অভিজ্ঞতার সাথে আরও ভাল কাজ করে, কারণ না হয় আপনি ক্লায়েন্ট অ্যাক্সেস টোকেন পরিচালনার একটি পূর্ণ-কালীন চাকরি শেষ করবেন - নতুন জারি করে, পুরানোগুলি প্রত্যাহার করা, লোকেদের অনুলিপি করা বা হতাশার বিষয়ে অভিযোগ করা যে কোনও টোকেন কেবল একবার ব্যবহার করা যেতে পারে - বা আপনি যে একটি টোকেন ব্যবহার করবেন তা প্রকাশ করবেন এবং কে এটি ব্যবহার করছেন এবং তার নিয়ন্ত্রণ আপনি হারিয়ে ফেলবেন এবং তারা এটি কোথা থেকে ব্যবহার করছে । এর অর্থ হ'ল জটিলতা মূলত যেখানে এটি সর্বোত্তমভাবে পরিচালিত হয়।

আমার নেটওয়ার্ক এবং পিএইচপিগুলির মধ্যে এমন কয়েকটি টানেল ছিল, যা এক দশক ধরে চলছে এবং তারা কেবল তাদের কাজটি করে। সময়ে সময়ে কারওর শেষে একটি নতুন মেশিনের প্রয়োজন হয় যা আমাদের শেষ প্রান্তে কিছু নতুন ডিভ বক্স বা অন্যান্য সংস্থান অ্যাক্সেস করতে সক্ষম হয় এবং এটি একটি ইন্টারফেস অ্যাক্সেস তালিকার একটি সাধারণ পরিবর্তন, আমার নিজের কিটে একটি লাইনের ফিক্স যা আমি করতে পারি সেকেন্ডে, এবং সবকিছু কাজ করছে। কোনও ক্লায়েন্ট ইনস্টল নেই। মোটেও কোনও শেষ পয়েন্ট জটিলতা নেই।

আমি ভি idea ধারণাটি আকর্ষণীয় মনে করি তবে আমার সন্দেহ হয় যে যখন কোনও ভি 4-কেবল ক্লায়েন্ট, বা v6 বাগের সাথে ছাঁটাইযুক্ত এমন কিছু কারণ এটি এতটা অনাকাঙ্খিত, বরাবর আসে এবং সত্যই-সত্যই-সুন্দর-দয়া করে অ্যাক্সেসের প্রয়োজন হয় আপনার নেটওয়ার্ক সংস্থানগুলিতে।

MadHatter
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.