Я работаю инженером в центре безопасности в одной компании. Мы управляем множеством клиентских FW, proxy и т. д. Примером наших ежедневных тикетов может быть то, что пользователь не может получить доступ к какому-то сайту, поэтому мы проверяем клиентский proxy,...
Во время устранения неполадок, а также поскольку мы уже управляем всеми устройствами, у нас есть несколько способов имитировать пользователя (например, в нашем примере явно определить прокси-сервер клиента и протестировать).
Однако, к сожалению, в большинстве случаев мы не могли смоделировать пользователя, поэтому у нас не было другого выхода, кроме как вызвать затронутого пользователя для живого теста (например, в нашем примере, если клиент использует прозрачный прокси-сервер?... или если на его пути есть IPS...)
Итак, мой вопрос: если я управляю всеми устройствами, есть ли способ сымитировать себя так, как будто я нахожусь внутри за зоной доверия FW?!, чтобы я мог устранять неполадки во всех тикетах в автономном режиме!
Я думал о следующем:
1- Откройте правило в FW, чтобы разрешить мне доступ внутрь, затем, используя методы маршрутизации на основе политик, я могу перенаправлять свой трафик так, как будто он был сгенерирован внутри. - Проблема в том, как я могу попросить браузер перенаправить весь http-трафик, например, на FW; если я делаю это через явный прокси-сервер, я ничего не делаю, и, к сожалению, я не могу установить маршрут на своем ПК для определенных портов.
2. Создайте VPN между моим ПК и клиентским FW и туннелируйте мой http-трафик внутри VPN. Проблема в том, что я не уверен, можно ли это сделать; мне нужен VPN-клиент, более продвинутый, чем мастер VPN для Windows, и то же самое нужно на FW.
3- Между FW и нашим сервером управления уже есть VPN, так что могу ли я инициировать любой трафик из FW в сторону моего ПК и создать что-то вроде бэкдора за FW. - Проблема, конечно, будет в том, что я не смогу установить ncat в свою FW?
Для меня я бы сказал, что подход 2 наиболее применим, как использование концепции защищенных удаленных пользователей?! Поэтому мне нужны ваши идеи и предложения.
Есть идеи
решение1
Это должно быть выполнимо с настройками прокси-сервера браузера, на определенный порт на клиентском FW. Правила брандмауэра направляют этот трафик на сервер/программное обеспечение/демон веб-прокси-сервера клиентского сайта, а НЕ в веб напрямую. Кроме того, правило должно ограничивать доступ только с вашего офисного IP, в противном случае клиентский FW станет открытым прокси.
На самом деле это может быть самый простой способ, если FW поддерживает PPTP, который поддерживается многими устройствами брандмауэра. L2TP потребует больше работы. Это решение зависит от марки/модели FW на клиентском сайте.
При наличии VPN между FW и сервером управления настройте статический маршрут к клиентской сети (через сервер управления), затем укажите прокси-сервер браузера на внутренний IP-адрес клиентского FW (веб-прокси).