Ich arbeite als Sicherheitsingenieur in einem Unternehmen. Wir verwalten viele Kunden-FWs, Proxys usw. Ein Beispiel für unsere täglichen Tickets könnte sein, dass der Benutzer auf eine Site nicht zugreifen kann, also überprüfen wir den Kunden-Proxy usw.
Während unserer Fehlerbehebung und da wir bereits alle Geräte verwalten, haben wir einige Möglichkeiten, den Benutzer zu simulieren (z. B. in unserem Beispiel den Proxy des Kunden explizit definieren und testen).
Allerdings können wir den Benutzer in den meisten Fällen leider nicht simulieren, sodass uns nichts anderes übrig bleibt, als den betroffenen Benutzer für einen Livetest anzurufen (z. B. in unserem Beispiel, wenn der Kunde einen transparenten Proxy verwendet? … oder wenn er IPS in seinem Pfad hat …)
Meine Frage ist also: Wenn ich alle Geräte verwalte, gibt es eine Möglichkeit, mich so zu simulieren, als ob ich mich intern hinter der Vertrauenszone der FW befinde?!, sodass ich alle Tickets offline beheben kann!
Ich habe an folgendes gedacht:
1- Öffnen Sie eine Regel in der FW, die mir den internen Zugriff erlaubt. Dann kann ich mithilfe von Routing-Techniken auf Richtlinienbasis meinen Datenverkehr weiterleiten, als wäre er intern generiert worden. – Das Problem besteht darin, wie ich den Browser anweisen kann, den gesamten HTTP-Datenverkehr beispielsweise an die FW umzuleiten. Wenn ich dies über einen expliziten Proxy mache, habe ich nichts getan und kann auf meinem PC leider keine Route für bestimmte Ports festlegen.
2- Erstellen Sie ein VPN zwischen meinem PC und der Kunden-FW und tunneln Sie meinen HTTP-Verkehr innerhalb des VPN. – Das Problem ist, dass ich nicht sicher bin, ob dies möglich ist. Ich brauche einen VPN-Client, der fortschrittlicher ist als der Windows-VPN-Assistent, und brauche dasselbe auf der FW.
3- Zwischen der FW und unserem Verwaltungsserver besteht bereits ein VPN. Kann ich also beliebigen Datenverkehr von der FW zu meinem PC initiieren und so etwas wie eine Hintertür hinter der FW einrichten? – Das Problem besteht natürlich darin, dass ich so etwas wie ncat nicht in meiner FW installieren kann?
Ich würde sagen, dass Ansatz 2 der am besten anwendbare ist, wie beispielsweise die Verwendung des Konzepts sicherer Remote-Benutzer?! Ich bin also an Ihren Ideen und Vorschlägen interessiert.
Irgendwelche Ideen
Antwort1
Dies sollte mit den Proxy-Einstellungen des Browsers zu einem bestimmten Port auf der Client-Firmware möglich sein. Die Firewall-Regeln leiten den Datenverkehr zum Web-Proxy-Server/zur Software/zum Daemon der Client-Site weiter, NICHT direkt zum Web. Darüber hinaus sollte die Regel den Zugriff nur von Ihrer Büro-IP aus beschränken, da die Client-Firmware sonst zu einem offenen Proxy wird.
Tatsächlich ist dies möglicherweise der einfachste Weg, wenn die FW PPTP unterstützt, was von vielen Firewall-Geräten unterstützt wird. l2tp erfordert mehr Arbeit. Diese Lösung hängt von der Marke/dem Modell der FW auf der Client-Site ab.
Richten Sie mit einem vorhandenen VPN zwischen der FW und dem Verwaltungsserver eine statische Route zum Clientnetzwerk ein (über den Verwaltungsserver) und richten Sie dann den Browserproxy auf die interne IP der Client-FW (Webproxy) ein.