В настоящий момент все ресурсы компании «защищены» с помощью Cisco VPN, и наши клиенты OSX настроены на подключение (по запросу) к VPN. Поскольку VPN устанавливает маршрут по умолчанию для клиента OSX для прохождения через VPN, это чрезвычайно полезно для защиты данных наших сотрудников, когда они находятся в незащищенных сетях (например, в кафе).
Есть ли способ в OSX потребовать, чтобы VPN была настроена до того, как приложениям будет разрешено использовать сеть? Это кажется довольно сложной проблемой, поскольку вам иногда нужно использовать сеть для подключения к общедоступной сети через веб-портал захвата, прежде чем вы сможете установить VPN.
Любые идеи?
Is there a way to, on OSX, require that the VPN be setup before applications are allowed to use the network?
Не то, чтобы я в курсе. Сеть есть сеть - если у вас есть сетевое соединение, которое обеспечивает маршрут к заданному хосту, система будет его использовать. Поскольку вам нужно иметь сетевое соединение (с Интернетом), прежде чем вы сможете создать виртуальное сетевое соединение (с вашим VPN), вы действительно не можете «остановить» его использование системой - по крайней мере, неэффективно.
Если ваши пользователи получают доступ к конфиденциальным данным, они должны использовать VPN - у них не должно быть доступа к конфиденциальным данным / приложениям без его использования. Ваша системная архитектура должна предотвратить это. Если вас беспокоит злонамеренная третья сторона, подменяющая ваше конфиденциальное приложение и захват данных / учетных данных, рекомендуется использовать дополнительный уровень безопасности - сертификаты SSL являются одной из наиболее распространенных мер.
Я смотрю на это с точки зрения сети, а не с точки зрения программирования для OSX.
Ваши сетевые источники данных защищены брандмауэром VPN, поэтому вы уже поставили проблему в том, что если пользователь не подключается к VPN, его приложения просто не будут работать, или они не смогут подключиться к ним. ресурсы компании.
Как уже было сказано, вам нужна существующая сеть для туннелирования, поэтому вы не можете заставить VPN выступать в качестве основного сетевого устройства. Но это может быть просто проблема пользователя - они забывают использовать VPN или пытаются обойти его, и что-то не работает. Или у вас может быть кто-то, кто совмещает деятельность, связанную с работой, с обычным просмотром веб-страниц, и поскольку VPN кооперирует ВСЕ сетевой трафик, его набеги на Facebook или где угодно, которые были пойманы межсетевым экраном вашей компании. Это также связано с поведением пользователя - сообщите, что «VPN подключается к сети компании, и действуют все политики использования сети компании».
Помимо этого, я не уверен, что еще вам нужно было бы обеспечить, чтобы потребовалось использование таблиц маршрутизации или других настроек на клиенте, которые автоматически запускали бы VPN.