Trabajo en el ingeniero del centro operativo de seguridad en una empresa. Gestionamos una gran cantidad de FW de clientes, proxy, etc. Un ejemplo de nuestros tickets diarios podría ser que el usuario no puede acceder a algún sitio, por lo que verificamos el proxy del cliente,...
Durante nuestra resolución de problemas y como ya administramos todos los dispositivos, tenemos algunas formas de simular al usuario (por ejemplo, en nuestro ejemplo, definir explícitamente el proxy del cliente y probarlo).
Sin embargo, y desafortunadamente, no pudimos simular al usuario la mayoría de las veces, por lo que no tenemos otra manera que llamar al usuario afectado para una prueba en vivo (por ejemplo, en nuestro ejemplo, ¿si el cliente usa un proxy transparente?... o si tiene IPS). en su camino...)
Entonces, mi pregunta es si estoy administrando todos los dispositivos, ¿hay alguna manera de simularme como si estuviera ubicado internamente detrás de la zona de confianza del FW? Para poder solucionar todos los tickets sin conexión.
Estaba pensando en lo siguiente:
1- Abra una regla en el FW que me permita acceder al interior y luego, utilizando técnicas de enrutamiento basadas en políticas, puedo reenviar mi tráfico como si se hubiera generado internamente. - El problema es cómo puedo pedirle al navegador que redirija todo el tráfico http, por ejemplo, al FW; Si lo hago a través de un proxy explícito, no he hecho nada y, lamentablemente, no puedo establecer una ruta en mi PC para ciertos puertos.
2- Crear una VPN entre mi PC y el FW del cliente, y canalizar mi tráfico http dentro de la VPN. - El problema es que no estoy seguro de que esto se pueda hacer; Necesito un cliente VPN más avanzado que el asistente VPN de Windows y necesito lo mismo en FW.
3- Ya existe una VPN entre el FW y nuestro servidor de administración, entonces, ¿puedo iniciar cualquier tráfico desde el FW hacia mi PC y crear una puerta trasera detrás del FW? - ¿El problema será, por supuesto, que no pude instalar como ncat en mi FW?
Para mí, diría que el enfoque 2 es el más aplicable, como utilizar el concepto de usuarios remotos seguros. Por eso quiero sus ideas y sugerencias.
Algunas ideas
Respuesta1
Esto debería poder hacerse con la configuración del proxy del navegador, a un puerto específico en el FW del cliente. Las reglas de firewall enrutan ese tráfico al servidor/software/demonio proxy web del sitio del cliente, NO a la web directamente. Además, la regla debe limitar el acceso desde la IP de su oficina únicamente; de lo contrario, el FW del cliente se convierte en un proxy abierto.
En realidad, esta puede ser la forma más sencilla si el FW admite PPTP, que es compatible con muchos dispositivos de firewall. l2tp necesitará más obras. Esta solución depende de la marca/modelo de FW en el sitio del cliente.
Con una VPN existente entre el FW y el servidor de administración, configure una ruta estática a la red del cliente (a través del servidor de administración), luego apunte el proxy del navegador a la IP interna del FW (proxy web) del cliente.