Por que usar uma VPN no navegador?

Dependendo de como a empresa grande configurou seu firewall, a VPN pode ou não ser menos segura.

Eu acho que esse é um caso de "tamanho único", eles provavelmente dão o mesmo acesso a todos, não importando se eles realmente precisam ou não, já que esta é a solução mais barata e mais confortável.

Em casos semelhantes, ofereço aos clientes externos acesso ao certificado SSL + cliente, juntamente com nome de usuário e senha para o serviço específico.

Certificados de cliente previnem adivinhação de senha casual e ataques de manipulação / injeção de URL, mas o usuário / passe para o serviço específico ainda é necessário desde que você tenha distribuído o certificado de cliente para alguém que não tem controle sobre o que fazer com ele está no smartcard, mas é uma história muito mais complicada (leia-se cara).

Eu uso um Cisco ASA 5510 com VPN SSL sem cliente para acesso a fornecedores e parceiros de negócios em nossa empresa. Eis por que isso faz sentido:

Quando os parceiros acessam nosso site VPN, uma conexão SSL (HTTPS) normal é feita para criptografia. Uma vez lá, quase tudo pode ser feito via HTTPS sem criar um túnel VPN completo para a nossa rede. A partir do site, os usuários podem acessar compartilhamentos SMB, sites internos, etc. Há até mesmo clientes baseados em navegador disponíveis para RDP e VNC, se necessário. Os benefícios para isso são:

• Mais seguro devido ao acesso limitado.
• Sem clientes, para que os parceiros não precisem instalar nada.
• O acesso aos protocolos padrão (SMB, RDP, VNC, HTTP) através do site é suportado diretamente.
• O acesso a protocolos não padrão por meio do site pode ser realizado por meio de túneis personalizados baseados no plug-in do navegador.

Os funcionários acessam nossa VPN usando o cliente VPN SSL completo da Cisco (chamado AnyConnect), que fornece o equivalente a um túnel VPN IPSec tradicional.

Não sei por que eles estão instalando um certificado. Isso pode ocorrer porque o certificado SSL é autoassinado e, caso contrário, apresentaria um aviso do navegador em cada conexão.

Espero que isso resolva as coisas.

Obrigado.

A VPN está fornecendo criptografia dos dados que você está acessando para que alguém entre você e eles não consiga capturar os dados confidenciais. Também requer que você se conecte à rede interna da grande empresa, o que é muito mais seguro do que ter uma página acessível pela Internet que qualquer pessoa possa acessar. Fazendo você baixar um certificado também significa que, para acessar sua rede, alguém teria que estar em um dos seus computadores. Não pode ser apenas um usuário aleatório que tenta logins e senhas contra uma interface web até que eles tenham acesso.

Eu não uso o vpn no navegador, mas recebo o seu problema mesmo em um cliente vpn da área de trabalho. Isso é o que eu no Windows para poder conectar a máquinas na rede local

Se você marcar ipconfig /all , ele deverá mostrar seu IP de rede local, bem como o IP atribuído por VPN. Digamos que seu IP local é 10.0.0.5 e você deseja se conectar a 10.0.0.3 em sua rede local.

Você adiciona uma rota a 10.0.0.3 da seguinte forma:

route add 10.0.0.3 10.0.0.5

Isso sempre funcionou para mim, em várias VPNs diferentes. IIRC O Cisco VPN Client também tem a opção de ignorar a VPN para acesso local.

Aparentemente, esse é um comportamento padrão para muitos tipos de VPN, sejam eles baseados em SSL da Cisco ou não. Eu tive casos com clientes VPN quando era impossível alterar o gateway padrão no cliente, então parece que esse comportamento pode ser alterado no lado do servidor. Você deve perguntar ao administrador da VPN em uma empresa "Grande" pelo acesso à LAN local (se isso for o que você precisa).

Limitar o acesso a qualquer destino diferente do definido no túnel da VPN é conhecido como encapsulamento dividido e é feito para impedir que a máquina remota atue como um canal para malwares da Internet para a rede privada.