У меня есть вопрос о безопасности, и я посмотрю, может ли VPN обеспечить большую безопасность, чем только SSL, в общедоступном Интернете.
Сервер Hyper-V 2012 R2 находится в настройке центра обработки данных для использования сертификата для шифрования SSL (из запущенной и работающей PKI Windows 2012 R2).
Этот сервер находится за брандмауэром, который преобразует порт 443 через NAT с общедоступного IP-адреса в частную локальную сеть.
Ряд офисов несколько серверов Hyper-V 2012 R2 подключаются к серверу Hyper-V центра обработки данных, каждый офисный сервер Hyper-V имеет установленный сертификат.
Если мы заблокируем брандмауэр, чтобы он принимал запросы только от IP-адресов клиентских офисов, есть ли какие-либо проблемы безопасности, о которых следует беспокоиться?
Может ли Hyper-V работать за расшифровывающим SSL-прокси (например, обратным прокси-сервером fortigate или nginx, который находится между двумя серверами Hyper-V), который расшифровывает, проверяет, а затем повторно шифрует трафик?
Я вижу, что клиент пытается поговорить с целью реплики на tcp / 135. Единственная проблема, которую я вижу, блокируя, это то, что во время настройки синхронизации сертификат реплики не может быть получен - используется ли tcp / 135 для чего-либо еще, кроме начальной настройки?
Репликация HTTP (без SSL) должна использоваться только в доверенных сетях, например LAN, VPN и т. Д., Где вас не беспокоят атаки типа "злоумышленник посередине". Как только вы перейдете в ненадежные сети, например Интернет, вам следует использовать SSL.
Настроить не так уж и сложно. Если вас беспокоят расходы, создайте собственную PKI.