저는 한 회사의 보안 운영 센터 엔지니어로 일하고 있습니다. 우리는 많은 고객 FW, Proxy 등을 관리하고 있습니다. 일일 티켓의 예로는 사용자가 일부 사이트에 액세스할 수 없어서 고객 프록시를 확인하는 경우가 있습니다.
문제 해결 중에 그리고 이미 모든 장치를 관리하고 있으므로 사용자를 시뮬레이션할 수 있는 몇 가지 방법이 있습니다(예: 이 예에서는 고객의 프록시를 명시적으로 정의하고 테스트).
그러나 불행하게도 우리는 대부분의 경우 사용자를 시뮬레이션할 수 없었기 때문에 영향을 받은 사용자에게 라이브 테스트를 요청하는 것 외에는 방법이 없습니다(예: 우리 예에서 고객이 투명 프록시를 사용하는 경우...또는 IPS가 있는 경우). 그의 길에...)
그래서 제 질문은 제가 모든 장치를 관리하고 있다면 FW의 신뢰 영역 내부에 있는 것처럼 시뮬레이션하여 오프라인으로 모든 티켓 문제를 해결할 수 있는 방법이 있느냐는 것입니다.
나는 다음을 생각하고 있었다 :
1- FW에서 규칙을 열어 내부 액세스를 허용한 다음 정책 기반 라우팅 기술을 사용하여 트래픽이 내부에서 생성된 것처럼 전달할 수 있습니다. - 문제는 브라우저에 모든 http 트래픽(예: FW)을 리디렉션하도록 요청하는 방법입니다. 명시적 프록시를 통해 만들면 아무 것도 하지 않은 것이며 불행하게도 내 PC에서 특정 포트에 대한 경로를 설정할 수 없습니다.
2- 내 PC와 고객 FW 사이에 VPN을 생성하고 VPN 내부에서 내 http 트래픽을 터널링합니다. - 문제는 이것이 가능한지 확실하지 않다는 것입니다. Windows VPN 마법사보다 더 발전된 VPN 클라이언트가 필요하고 FW에도 동일한 기능이 필요합니다.
3- FW와 관리 서버 사이에 이미 VPN이 있으므로 FW에서 내 PC로 트래픽을 시작하고 FW 뒤에서 백도어처럼 만들 수 있습니다. - 문제는 내 FW에 ncat처럼 설치할 수 없다는 것입니다.
나에게는 보안 원격 사용자 개념을 사용하는 것과 같은 접근 방식 2가 가장 적용 가능한 접근 방식이라고 말하고 싶습니다. 그래서 저는 여러분의 아이디어와 제안을 원합니다.
어떤 아이디어라도
답변1
클라이언트 FW의 특정 포트에 대한 브라우저 프록시 설정을 통해 이 작업을 수행할 수 있어야 합니다. 방화벽 규칙은 해당 트래픽을 웹이 아닌 클라이언트 사이트 웹 프록시 서버/소프트웨어/데몬으로 라우팅합니다. 또한 규칙은 사무실 IP에서만 액세스를 제한해야 하며, 그렇지 않으면 클라이언트 FW가 개방형 프록시가 됩니다.
실제로 이는 FW가 많은 방화벽 장치에서 지원하는 PPTP를 지원하는 경우 가장 쉬운 방법일 수 있습니다. l2tp에는 더 많은 작업이 필요합니다. 이 솔루션은 클라이언트 사이트의 FW 브랜드/모델에 따라 다릅니다.
FW와 관리 서버 사이에 기존 VPN을 사용하여 (관리 서버를 통해) 클라이언트 네트워크에 대한 고정 경로를 설정한 다음 브라우저 프록시가 클라이언트 FW(웹 프록시) 내부 IP를 가리키도록 합니다.