Moet Twingate op deze manier worden gebruikt?

Ik heb een vreemde vraag. Ik heb pc’s die op poorten zitten met twee VLAN’s, beveiligings-VLAN en personeel-VLAN. Mijn vraag is om zeker te zijn dat als de beveiligings-pc wordt gecompromitteerd, geen aanvaller de hele beveiligings-VLAN kan beïnvloeden.

De hele beveiligings-VLAN ziet alle ip-camera’s, recorders, servers. Om beelden te bekijken of te monitoren, moeten ze volledige toegang hebben tot alle apparaten en servers.

Sommigen hebben gesuggereerd dat als het correct is ingesteld op de firewall, er geen probleem zou zijn.

Ik ben geen netwerkbeheerder en vroeg me af hoe complex het is om zo’n firewallregels op te zetten in vergelijking met gewoon Twingate gebruiken. Of is de use case voor Twingate niet geschikt voor wat ik probeer te bereiken?

We gebruiken ook openvpn voor VPN op externe apparaten en werd verteld dat het streng beperkt is tot slechts één type toegang. Dus ik ben gewoon nieuwsgierig, wat is het verschil tussen Twingate en onze openvpn? Als ze alleen toestaan dat je toegang krijgt tot specifieke IP’s.

Voor openvpn wordt het gefactureerd op basis van het aantal actieve gebruikers per maand. Ik neem aan dat Twingate op gebruiker gebaseerd is?

bewerkt: bedoelde dat de beveiligings-VLAN volledig van de pc verwijderen en dat de pc alleen de personeel-VLAN heeft.

Hoi!

Laat me het een beetje herformuleren om zeker te weten dat ik het begrijp: de ene “beveiligings-pc” zit op beide netwerken (VLAN en Beveiligings-VLAN). Je wilt er zeker van zijn dat als de “beveiligings-pc” gecompromitteerd wordt en iemand er toegang toe krijgt, ze niet kunnen verspreiden en toegang krijgen tot de rest van de beveiligings-VLAN.

Als dat zo is, denk ik niet dat je dat zonder zowel een firewall als Twingate kunt doen. Het komt erop neer dat wanneer een legitieme beheerder op de beveiligings-pc is, er nog steeds beveiligingscontroles rondom identiteit (inloggegevens, MFA, etc.) moeten zijn die voldaan moeten worden voordat de gebruiker toegang krijgt tot andere dingen op dat netwerk.

Wat Twingate voor je kan doen:

Je kunt Twingate zo configureren dat wanneer een gebruiker op de beveiligings-pc zit, voordat ze verbinding kunnen maken met een ander eindpunt op de beveiligings-VLAN, ze inloggegevens, MFA, etc. moeten verstrekken. Dit doe je door het hele CIDR-bereik van je beveiligings-VLAN achter Twingate te zetten, beschermd door een beleid dat regelmatige herauthenticatie en MFA vereist en andere controles zoals antivirus inschakelen.

Wat een firewall voor je kan doen:

Je kunt je firewall zo configureren dat alleen de Twingate-verbinding kan inkomen op je beveiligings-eindpunten, zodat wanneer een gebruiker op de beveiligings-pc zit, ze alleen kunnen verbinden met eindpunten als de Twingate-client actief is en het verkeer onderschept en eerst naar je connector stuurt.

Waarom alleen een firewall niet genoeg kan zijn:

een firewall laat je toe te bepalen welke eindpunten met elkaar kunnen verbinden, maar aangezien de beveiligings-pc toegang nodig heeft tot eindpunten op de beveiligings-VLAN, en omdat firewalls op netwerk-niveau werken en geen rekening houden met inloggegevens, MFA, etc., zal het verkeer van de pc naar eindpunten niet blokkeren.

Waarom alleen Twingate niet genoeg kan zijn:

Synoniem technisch gesproken, als een eindpunt geen bekende Twingate-resource is, zal de Twingate-client het verkeer naar dat eindpunt negeren en wordt het beschouwd als “bypass verkeer”. Ander verkeer wordt doorgestuurd naar de connector. Daarom heb je de firewall nodig om het bypass-verkeer te blokkeren als de Twingate-client niet actief is.

Hopelijk helpt dit een beetje!