Есть ли оптимальная практика в отношении того, где установить VPN-сервер, который предназначен для облегчения доступа к корпоративной сети, и почему?
Раньше я устанавливал VPN на шлюзе / основном маршрутизаторе, однако я понимаю, что сейчас обычной практикой является установка виртуальной машины для сервера.
Рассматривая аспект безопасности и риск компрометации, разумно ли предположить, что VPN типа "сеть-сеть" с одинаковым уровнем доступа могут находиться на маршрутизаторах с использованием предварительного ключа, в то время как VPNS между пользователями должны находиться на виртуальной машине с использованием общедоступного доступа. / технология закрытого ключа?
Если это имеет значение, предпочтительной технологией VPN является OpenVPN.
Я полностью согласен с @Cristian Matthias Ambæk в отношении установки сервера за брандмауэром. Как правило, общедоступные службы следует размещать в демилитаризованной зоне (DMZ), чтобы запретить (прямой) доступ к вашему серверу или клиентской локальной сети из Интернета.
В зависимости от размера компании, на которую вы обращаетесь, может быть разумным выделить определенное оборудование для выполнения виртуализации внутри DMZ (выделенного сервера). Это устраняет риск того, что скомпрометированная виртуальная машина, расположенная на оборудовании DMZ, получит доступ к производственным виртуальным машинам, взяв на себя управление гипервизором.
Я не уверен, что вы пытаетесь сформулировать в третьем абзаце. Считаете ли вы, что VPN с удаленным доступом более вероятно подвергнется атаке, чем VPN типа "сеть-сеть"? Или вы думаете о IPSec для VPN типа "сеть-сеть" и OpenVPN (который использует TLS) для удаленного доступа? Тем не менее, я бы порекомендовал вам использовать PKI для вашей межсайтовой VPN или использовать очень длинный PSK для повышения безопасности.