Acesso seguro a compartilhamentos SMB pela Internet

Navegue suas respostas
1

Estou procurando alguns conselhos sobre a oferta segura de compartilhamentos CIFS pela Internet. O servidor de arquivos será hospedado em um serviço de nuvem (por exemplo, DigitalOcean). Haverá até 100 dispositivos remotos que precisam acessar o compartilhamento, embora eles não estejam transferindo mais de 30 MB em cada conexão. Esses dispositivos se conectariam diariamente, mas não necessariamente ao mesmo tempo.

Os dispositivos remotos estão conectados à Internet através de um roteador M2M com acesso móvel 4G.

Qual é a maneira mais eficiente e segura de permitir o acesso dos dispositivos remotos ao compartilhamento? Minha opinião é usar uma VPN site a site?

Um problema que não mencionei quando publiquei isso originalmente, é que todos os sites remotos estão na mesma sub-rede (192.168.1.0/24). É mais fácil configurá-los como uma VPN de usuário remoto em vez de fazer VPNs de site para site?

Então eu configurei uma VPN site-to-site (StrongSwan) que funciona bem. O problema que tenho agora é que o servidor SMB está em DigitalOcean, o que significa que o servidor só tem um IP público. Os dispositivos remotos permitirão um endereço IP para o servidor (ou seja, nenhum FQDN). No momento, posso definir o endereço IP para o IP do servidor DigitalOcean. Eu só estou pensando a longo prazo, se eu precisar mudar esse servidor por qualquer motivo, ou que IP é alterado, não posso ir em torno de 100 dispositivos e alterar a configuração de IP para o servidor de arquivos.

Qual é a minha melhor opção para isso? O servidor VPN e o servidor de arquivos são os mesmos.

    
por CircularRecursion 10.04.2018 / 17:34

1 resposta

1

Site a site. Se os dispositivos remotos estivessem todos no mesmo local ou pelo menos em alguns locais fixos, a VPN de site para site seria ideal para evitar que todos os dispositivos ter seu próprio cliente VPN e autenticação para ele. Neste caso, parece que todos os dispositivos estão em diferentes locais remotos. Você pode fazer com que eles se conectem diretamente à nuvem ou por meio de sua rede local.

Como todas as redes internas do seu roteador M2M 4G são iguais 192.168.1.0/24 , sua VPN não pode estabelecer rotas diretamente entre todas as redes, mas você precisa de um NAT. Eu acho que conexões entre os clientes não seriam necessárias, apenas entre cada cliente e o servidor.

Segurança. Se o objetivo desse acordo é ter os dados fora do site ou a escalabilidade que a nuvem pode oferecer, eu usaria uma solução de nuvem que permitisse apenas conexões dentro da rede de nuvem privada, não diretamente pela internet.

Eficiência . O uso de uma VPN geralmente não causa sobrecarga na utilização da rede. Muito pelo contrário: uma VPN pode ser configurada para compactar a conexão mesmo quando não está compactada na solução original de compartilhamento de arquivos. De qualquer forma, uma solução de nuvem pode lidar com suas transferências de 30MB de 100 dispositivos, um pouco por dia; e uma conexão 4G pode manipular cada um conforme eles são distribuídos. Seus requisitos são comparativamente baixos.

Usabilidade. Existe uma capacidade incorporada nos seus roteadores M2M para estabelecer a conexão VPN? Especialmente para dispositivos BYOD, essa seria a maneira mais fácil para os usuários, a um custo de segurança que um cliente VPN de software autenticado por senha ofereceria.

    
por 10.04.2018 / 18:29

Tags

Não é possível fazer o login no phpMyAdmin depois de mudar para o php-fpm Parando e iniciando uma instância de VM do Azure a partir do PowerShell sendo executado em um servidor externo