Protegendo o acesso VPN de máquinas de usuários (home office)

Navegue suas respostas
1

Já temos algumas pessoas trabalhando em casa, acessando alguns servidores internos via VPN. Todos usam laptops ou PCs fornecidos pela empresa, sobre os quais temos controle total. Agora estamos diante de mais pessoas querendo fazer o trabalho em casa, mas usando suas próprias máquinas. Eles precisam acessar pelo menos nosso servidor interno de arquivos e mensagens instantâneas.

Dar-lhes acesso VPN à nossa rede interna a partir de suas próprias máquinas parece representar um risco potencial à segurança. Eu estou principalmente preocupado em dar a eles acesso ao nosso servidor de arquivos samba. O que foi sugerido é simplesmente confiar em um verificador de vírus no acesso para proteger o servidor de arquivos, mas não estou completamente convencido de que isso seja suficiente.

Existe algum tipo de proxy de acesso ou algo parecido que podemos colocar em uma DMZ e só permitir acesso externo a esse servidor, fazer algum tipo de varredura / filtragem e fazer com que eles acessem nossos servidores internos de lá? Preferencialmente, opensource / linux com base em como estamos usando principalmente o CentOS / RHEL para nossos servidores e gostaríamos de mantê-lo assim (opensource não deveria implicar que não estamos dispostos a pagar por isso, só precisamos de algumas idéias ou produtos que pudéssemos olhe para).

    
por toString 02.12.2010 / 19:21

3 respostas

3

Eu detestaria dar aos clientes VPN um acesso irrestrito da camada 3 (e superior) à minha rede. Além das ferramentas de camada de aplicação que você vai usar, eu seria muito draconiano, na camada 3, sobre o que os clientes VPN remotos podem "conversar".

Se você estiver preocupado com os ataques em nível de protocolo contra o servidor de arquivos, pode pensar em expor o servidor de arquivos por meio de um gateway WebDAV sobre SSL. O WebDAV é discutível como um protocolo mais "auditável" do que o SMB e a maioria das versões do Windows e muitas distribuições do Linux lidam com o acesso a arquivos via WebDAV muito bem.

Nos termos dos clássicos ataques de "confidencialidade, disponibilidade, integridade" contra o seu servidor de arquivos por esses clientes VPN, acho que você terá problemas para encontrar uma solução "mágica". Supondo que essas máquinas sejam "de propriedade" de terceiros (malware, etc), você deve assumir que os keyloggers podem estar presentes (o que implica a necessidade de funcionalidade de senha única em um dispositivo confiável). Qualquer coisa que o usuário tenha direitos de acesso (modificar, etc) também estará disponível para o malware nessas máquinas.

Dado o pouco que eu confiaria em computadores de propriedade pessoal, eu faria lobby para dar aos usuários de VPN acesso para computar recursos hospedados em computadores confiáveis através de um protocolo "thin client" - X Windows, RDP, PCoIP, etc. e exigir que eles usem um token de hardware para logon único com senha. Ele ainda não é perfeito (já que os dados podem ser injetados ou retirados do fluxo de protocolo do thin client por um terceiro mal-intencionado), mas mantém o acesso direto aos dados longe dos computadores clientes remotos.

    
por 02.12.2010 / 19:35
0

Algo como um Juniper SSL VPN vem com um componente do Windows chamado Windows Secure Access Manager que não é exatamente um proxy ou firewall, mas permite especificar aplicativos (e hashes MD5 para garantir que realmente seja o aplicativo) e destinos de origem e portas.

Isso pode ser uma opção para o material de IM.

Os compartilhamentos de arquivos são complicados, pois mesmo usando esse tipo de componente você ainda tem drive ou acesso UNC no Windows, pelo menos eu não sei como restringi-lo a somente leitura no nível da VPN.

Dependendo de quanto acesso eles precisam, uma opção seria usar o componente de acesso a arquivos da web da VPN, assim eles terão acesso aos arquivos, mas usando uma interface web, sem acesso a SMB.

Além disso, com uma VPN comercial, você recebe verificadores de host para que você possa determinar que as máquinas devem ter AV e devem estar atualizadas, e se não estiverem, voltem e tentem novamente quando cumprirem as regras.

    
por 02.12.2010 / 19:34
0

Temos várias pessoas conectadas remotamente em seus próprios computadores. Usamos a edição empresarial Winfrasoft ( link ) que verifica o cliente quanto a patches de segurança necessários, software antivírus atual, compartilhamento de conexão desativado etc.

    
por 02.12.2010 / 19:50

Tags

O MySQL 5.5 no servidor Windows é terrivelmente lento Ponto de entrada - sempre o elo mais fraco?