Gerenciamento remoto somente via VPN em um TL-ER6020

2

Temos um TL-ER6020 que estamos configurando em um modo "Non NAT" (o lado da WAN está em uma rede / 30 e roteia uma rede / 29).

Eu quero ser capaz de "Gerenciar remotamente" o roteador, mas quero evitar que ele seja acessível via HTTP do lado da WAN.

Em um Cisco RV042, eu tinha configurado as coisas para que eu colocasse o PPTP no roteador e, em seguida, fosse capaz de acessar o roteador através do seu IP interno. No entanto, esse roteador tinha configurado NAT.

Qual é o caminho certo para abordar esse problema?

    
por kidoman 18.06.2015 / 01:20

2 respostas

0

Se você tiver acesso ao firewall dentro do roteador, negarei pacotes HTTP provenientes da interface WAN.

Se o HTTP é aceito de dentro, então com a vpn é apenas uma questão de se conectar ao vpn e depois ao acesso remoto.

    
por 13.09.2015 / 20:15
0

A partir de suas declarações, meu entendimento é que tanto as redes internas quanto as redes WAN usam o endereçamento IP público (por causa do não NAT de interno para WAN).

Agora, porque você está falando sobre a rede interna como uma rede segura, estou assumindo que o TL-ER6020 está negando / bloqueando todo o tráfego da WAN para o interno, e talvez permita conexões através da WAN se elas re iniciado na rede interna.

Dito isto, estas são algumas abordagens geralmente usadas:

  1. Ative o gerenciamento remoto direto com segurança: para fazer isso de forma eficaz, você deve:

    1. Use apenas protocolos seguros (HTTPs, SSH, etc.)
    2. Bloqueie todas as conexões da WAN para o TL-ER6020, exceto o protocolo de gerenciamento seguro
    3. Restringir os IPs de origem autorizados a se conectar
    4. Use um mecanismo de autenticação muito strong (com o SSH, por exemplo, você deve usar a chave de autenticação RSA em vez da senha / frase secreta)

    Se você se conectar ao dispositivo remoto a partir de uma rede com IP / s estático e o dispositivo oferecer suporte a esses recursos, essa é uma solução viável. Infelizmente, o TL-ER6020 parece não ser capaz de fazê-lo.

  2. Redução de superfície de ataque, limitando a conectividade remota somente ao serviço VPN. Vale notar que até mesmo o bloqueio do dispositivo, com exceção do SSH, por exemplo, reduz a superfície de ataque. As principais vantagens da abordagem VPN são:

    1. Os servidores / daemons / serviços VPN são considerados mais seguros e resilientes do que a maioria dos outros serviços de acesso remoto (o Telnet é um exemplo claro). De qualquer forma, uma boa implementação de SSH ou SSL também seria strong.
    2. Você pode reduzir a superfície de ataque ao permitir vários serviços: por exemplo, se permitir FTP, HTTP e SSH por meio da VPN, exporia apenas o serviço VPN à Internet, reduzindo efetivamente os componentes que você precisa manter .

De volta à sua situação no mundo real, já que a opção 1 parece inadequada para o seu dispositivo, você pode optar por uma VPN.

Referindo-se a: "Em um Cisco RV042, eu configurei as coisas para que eu colocasse o PPTP no roteador e pudesse acessar o roteador através do seu IP interno. No entanto, esse roteador tinha o NAT configurado", se a suposição sobre seu design está correto, você só precisa iniciar a conexão VPN e acessar o IP público interno do próprio roteador. Em outras palavras, a ausência de NAT significaria apenas que você precisa lidar com os IPs reais (provavelmente públicos) atribuídos à sua rede interna.

    
por 18.09.2015 / 14:10

Tags