Назад | Перейти на главную страницу

Удаленное управление только через VPN на TL-ER6020

У нас есть TL-ER6020, который мы настраиваем в режиме «Без NAT» (сторона WAN находится в сети / 30 и маршрутизирует сеть / 29).

Я хочу иметь возможность «удаленного управления» маршрутизатором, но хочу, чтобы он не был доступен через HTTP со стороны WAN.

На Cisco RV042 я настроил все так, чтобы я подключал PPTP к маршрутизатору, а затем мог получить доступ к маршрутизатору через его внутренний IP-адрес. Однако на этом маршрутизаторе был настроен NAT.

Как правильно подойти к этой проблеме?

Из ваших заявлений я понимаю, что как внутренние, так и глобальные сети используют общедоступную IP-адресацию (из-за отсутствия NAT от внутренней к глобальной сети).

Теперь, поскольку вы говорите о внутренней сети как о защищенной сети, я предполагаю, что TL-ER6020 запрещает / блокирует весь трафик из глобальной сети во внутренний и, возможно, разрешает соединения через глобальную сеть, если они инициируются в внутренняя сеть.

Сказав это, вот некоторые обычно используемые подходы:

  1. Обеспечьте безопасное прямое удаленное управление: для этого вам необходимо:

    1. Используйте только безопасные протоколы (HTTP, SSH и т. Д.)
    2. Заблокируйте все подключения из глобальной сети к TL-ER6020, кроме безопасного протокола управления.
    3. Ограничить исходные IP-адреса, разрешенные для подключения
    4. Используйте очень надежный механизм аутентификации (например, с SSH вы должны использовать ключ аутентификации RSA, а не пароль / кодовую фразу)

    Если вы подключаетесь к удаленному устройству из сети со статическим IP / s, и ваше устройство поддерживает эти функции, это реальное решение. К сожалению, TL-ER6020 не может этого сделать.

  2. Уменьшение поверхности атаки за счет ограничения удаленного подключения только к службе VPN. Стоит отметить, что даже блокировка устройства, за исключением, например, SSH, снижает поверхность атаки. Основные преимущества подхода VPN:

    1. Серверы / демоны / службы VPN считаются более безопасными и отказоустойчивыми, чем большинство других служб удаленного доступа (наглядный пример - Telnet). В любом случае, хорошая реализация SSH или SSL также будет сильной.
    2. Фактически вы можете уменьшить поверхность атаки, если разрешите несколько служб: например, если вы разрешите FTP, HTTP и SSH через VPN, вы предоставите доступ в Интернет только для службы VPN, что значительно сократит количество компонентов, которые вам необходимо поддерживать.

Вернемся к вашей реальной ситуации: учитывая, что вариант 1 кажется вам не подходящим для вашего устройства, вы можете выбрать VPN.

Ссылаясь на «На Cisco RV042, я настроил все так, чтобы я подключил PPTP к маршрутизатору, а затем смог бы получить доступ к маршрутизатору через его внутренний IP-адрес. Однако на этом маршрутизаторе настроен NAT», если предположение о вашей конструкции правильно, вам просто нужно запустить VPN-соединение, а затем получить доступ к внутреннему общедоступному IP-адресу самого маршрутизатора. Другими словами, отсутствие NAT означало бы, что вам нужно иметь дело с реальными (возможно, общедоступными) IP-адресами, которые вы назначили своей внутренней сети.

Если у вас есть доступ к межсетевому экрану внутри маршрутизатора, я бы запретил пакеты HTTP, поступающие из интерфейса WAN.

Если HTTP принимается изнутри, то с vpn это просто вопрос подключения к vpn, а затем к удаленному доступу.