Мы купили брандмауэр (sonicwall nsa), и он поставляется с 2 лицензиями SSLVPN. С его помощью мы также можем загрузить NetExtender, который я понял как установление своего рода сеанса VPN между локальным клиентом и нашим брандмауэром, и сделать локальный компьютер частью нашей локальной сети. Я немного искал безопасность этого, так как меня очень беспокоит то, что ноутбук пользователя становится частью нашей локальной сети. Предположим, это устанавливает какое-то соединение IPSec? Если я правильно понимаю, пакеты закодированы, зашифрованы и все такое. Вопросы:
Но я не уверен, что в этом хорошего, если пользовательский ноутбук теперь является частью всей сети? Все на нем, например вирусы, теперь можно бесплатно передать в другую часть локальной сети. Это безопасно? Если нет, то предполагается, что правильное использование этого - разрешить VPN только для «администрируемых» ноутбуков и ПК, на которых настроены надлежащие конфигурации (брандмауэр, проверка на вирусы и т. Д.)?
Является ли SSLVPN (в данном конкретном случае у меня только клиент SSLVPN от Sonicwall) лучшим вариантом использования в этом случае? По крайней мере, для Sonicwall их SSLVPN разрешает только терминал RDP и SSH, ограниченное использование приложений? и локальный компьютер не становится частью сети. или это действительно не так безопасно, как кажется.
заранее спасибо
РЕДАКТИРОВАТЬ: чтобы ответить на комментарий, цель SSLVPN для большинства наших пользователей - иметь возможность использовать удаленный рабочий стол.
Я думаю, вы здесь ставите телегу впереди лошади. Вы не указали никаких требований к приложениям, которые должны использовать удаленные пользователи. Без этого сложно дать конкретный ответ.
Важная часть, какую бы технологию вы ни выбрали, заключается в том, что вы устанавливаете соответствующие элементы управления доступом. У компьютера, подключенного к VPN, как правило, не будет никаких причин разговаривать ни с чем, кроме избранного набора серверов, и, скорее всего, не с рабочими станциями в удаленном офисе и, скорее всего, с другими клиентами VPN.
Эта цель может быть достигнута по-разному в зависимости от используемой технологии доступа. Для первого варианта, который вы описываете, этот вид управления доступом будет осуществляться на сетевом уровне с использованием правил брандмауэра. Для второго варианта вы должны ограничить его, настроив приложения, к которым пользователю разрешен доступ.
Как правило, такое решение, как решение SSLVPN, описанное выше, может предлагать большую детализацию и контроль за счет совместимости приложений.