Назад | Перейти на главную страницу

Защита доступа к VPN с компьютеров пользователей (домашний офис)

У нас уже есть несколько человек, которые работают из дома и получают доступ к некоторым внутренним серверам через VPN. Все они используют предоставленные компанией ноутбуки или ПК, которые мы полностью контролируем. Теперь мы сталкиваемся с тем, что все больше людей хотят работать в домашнем офисе, но используют свои собственные машины. Им нужен доступ как минимум к нашему внутреннему чату и файловому серверу.

Предоставление им доступа через VPN к нашей внутренней сети с их собственных компьютеров, похоже, представляет собой потенциальную угрозу безопасности. Меня больше всего беспокоит предоставление им доступа к нашему файловому серверу самбы. Было предложено просто положиться на антивирусный сканер при доступе, защищающий файловый сервер, но я не совсем уверен, что этого достаточно.

Есть ли какой-то прокси-сервер доступа или что-то подобное, которое мы могли бы поместить в DMZ и разрешить только внешний доступ к этому серверу, выполнить какое-то сканирование / фильтрацию и предоставить им доступ к нашим внутренним серверам оттуда? Предпочтительно на основе openource / linux, поскольку мы в основном используем CentOS / RHEL для наших серверов и хотели бы сохранить его таким (открытый исходный код не должен означать, что мы не готовы платить за него, просто нужны некоторые идеи или продукты, которые мы могли бы смотреть на).

Я бы не хотел предоставлять VPN-клиентам в таком сценарии неограниченный доступ уровня 3 (и выше) к моей сети. Помимо любых инструментов прикладного уровня, которые вы собираетесь использовать, я бы на уровне 3 был очень драконовским в отношении того, с чем могут «разговаривать» удаленные клиенты VPN.

Если вас беспокоят атаки на уровне протокола на ваш файловый сервер, вы можете подумать о раскрытии файлового сервера через шлюз WebDAV через SSL. Можно утверждать, что WebDAV является более «контролируемым» протоколом, чем SMB, и большинство версий Windows и многих дистрибутивов Linux очень хорошо обрабатывают доступ к файлам через WebDAV.

Что касается классических атак типа «конфиденциальность, доступность, целостность» на ваш файловый сервер, совершаемых этими VPN-клиентами, я думаю, у вас возникнут проблемы с поиском «волшебной пули». Предполагая, что эти машины «принадлежат» третьим сторонам (вредоносные программы и т. Д.), Вы должны предположить, что могут присутствовать кейлоггеры (что подразумевает необходимость использования одноразового пароля на доверенном устройстве). Все, что пользователь будет иметь права доступа (изменение и т. Д.), Также будет доступно вредоносному ПО на этих машинах.

Учитывая, как мало я доверяю личным компьютерам, я бы сильно лоббировал предоставление пользователям VPN доступа к вычислительным ресурсам, размещенным на доверенных компьютерах, через протокол «тонкого клиента» - X Windows, RDP, PCoIP и т. Д., И требовать их использовать аппаратный токен для входа с одноразовым паролем. Он по-прежнему не идеален (поскольку данные могут быть введены в поток протокола тонкого клиента или извлечены из него злонамеренной третьей стороной), но он сохраняет прямой доступ к данным вдали от удаленных клиентских компьютеров.

У нас есть множество людей, которые подключаются удаленно со своих компьютеров. Мы используем Winfrasoft Enterprise Edition (http://www.winfrasoft.com/vpnq.htm), который проверяет клиент на наличие необходимых исправлений безопасности, наличия антивирусного программного обеспечения, отключенного совместного использования соединения и т. д.

Что-то вроде Juniper SSL VPN поставляется с компонентом Windows под названием Windows Secure Access Manager, который не совсем прокси или брандмауэр, но позволяет вам указывать приложения (и хэши MD5, чтобы убедиться, что это действительно приложение), а также исходные пункты назначения и порты.

Это может быть вариант для чата.

Совместное использование файлов - непростая задача, поскольку даже при использовании такого компонента у вас все еще есть доступ к диску или UNC в Windows, по крайней мере, я не знаю способа ограничить его доступ только для чтения на уровне VPN.

В зависимости от того, какой объем доступа им нужен, одним из вариантов может быть использование компонента доступа к веб-файлам в VPN, таким образом, у них будет доступ к файлам, но с использованием веб-интерфейса, без доступа SMB.

Кроме того, с коммерческим VPN вы получаете средства проверки хоста, чтобы вы могли указать, что на машинах должен быть AV и он должен быть обновлен, а если это не так, вернитесь и попробуйте еще раз, когда вы соблюдаете правила.