Trabalho como engenheiro do centro operacional de segurança em uma empresa. Gerenciamos muitos FW de clientes, proxy, etc. Um exemplo de nossos tickets diários poderia ser o usuário não conseguir acessar algum site, então verificamos o proxy do cliente,...
Durante a nossa solução de problemas e como já gerenciamos todos os dispositivos, temos algumas maneiras de simular o usuário (por exemplo, no nosso exemplo, definir explicitamente o proxy do cliente e testar).
Porém e infelizmente não conseguimos simular o usuário na maioria das vezes, então não temos outra maneira a não ser chamar o usuário impactado para um teste ao vivo (por exemplo, no nosso exemplo, se o cliente usa proxy transparente?...ou se ele tem IPS em seu caminho...)
Então, minha pergunta é: se estou gerenciando todos os dispositivos, existe uma maneira de me simular como se estivesse localizado internamente atrás da zona de confiança do FW?!, para que eu possa solucionar todos os tickets offline!
Eu estava pensando no seguinte:
1- Abra uma regra no FW para permitir o acesso interno e, em seguida, usando técnicas de roteamento baseadas em políticas, posso encaminhar meu tráfego como se tivesse sido gerado internamente. - O problema é como posso pedir ao navegador para redirecionar todo o tráfego http, por exemplo, para o FW; se eu fizer isso via proxy explícito, não fiz nada e, infelizmente, não consigo definir uma rota no meu PC para determinadas portas.
2- Criar uma VPN entre meu PC e o FW do cliente e encapsular meu tráfego http dentro da VPN. - O problema é que não tenho certeza se isso pode ser feito; preciso de um cliente VPN mais avançado que o assistente VPN do Windows e preciso do mesmo no FW.
3- Já existe uma VPN entre o FW e nosso servidor de gerenciamento, então posso iniciar qualquer tráfego do FW para o meu pc, e fazer um backdoor atrás do FW. - O problema será claro que não consegui instalar como ncat no meu FW?
Para mim eu diria que a abordagem 2 é a mais aplicável, como usar o conceito de usuários remotos seguros?! Então eu quero suas idéias e sugestões.
Alguma ideia
Responder1
Isso deve ser possível com as configurações de proxy do navegador, para uma porta específica no FW do cliente. As regras de firewall direcionam esse tráfego para o servidor/software/daemon proxy da web do site do cliente, NÃO diretamente para a web. Além disso, a regra deve limitar o acesso apenas do IP do seu escritório, caso contrário o FW do cliente se tornará um proxy aberto.
Na verdade, esta talvez seja a maneira mais fácil se o FW suportar PPTP, que é suportado por muitos dispositivos de firewall. l2tp precisará de mais obras. Esta solução depende da marca/modelo do FW nas instalações do cliente.
Com uma VPN existente entre o FW e o servidor de gerenciamento, configure uma rota estática para a rede do cliente (através do servidor de gerenciamento) e, em seguida, aponte o proxy do navegador para o IP interno do FW do cliente (proxy web).