我们的小公司与一家大公司合作,必须每天访问他们的客户数据。除了分配登录名外,他们还让我们在计划使用的每台计算机上下载证书,并以某种方式在 Internet Explorer 中设置 Cisco VPN。登录后,该浏览器无法访问我们的公司内联网,如果我访问whatismyip.com,它显示的是与工作时不同的域。
采取这一策略的理由是什么?如果我们直接在他们的网络上,而不是通过网络界面访问有限的信息,那不是较少的安全的?
答案1
根据公司设置防火墙的规模,VPN 的安全性可能会或可能不会降低。
我认为这是一个“一刀切”的例子,他们可能为每个人提供相同的访问权限,无论他们是否真正需要它,因为这是最便宜和最舒适的解决方案。
在类似情况下,我向外部客户提供 SSL+客户端证书访问权限,以及特定服务的用户名和密码。
客户端证书可以防止随意的密码猜测和 URL 操纵/注入攻击,但是仍然需要特定服务的用户/密码,因为一旦您将客户端证书交给某人,您就无法控制他们用它做什么,除非它在智能卡上,但这是一个更复杂(更昂贵)的故事。
答案2
我使用 Cisco ASA 5510 和无客户端 SSL VPN 来访问我们公司的供应商和业务合作伙伴。这样做的好处如下:
当合作伙伴访问我们的 VPN 网站时,会建立正常的 SSL(HTTPS)连接进行加密。一旦到达那里,几乎所有事情都可以通过 HTTPS 完成,而无需创建通往我们网络的完整 VPN 隧道。从该站点,用户可以访问 SMB 共享、内部网站等。如果需要,甚至可以使用基于浏览器的客户端进行 RDP 和 VNC。这样做的好处是:
- 由于访问受限,因此更加安全。
- 无需客户端,合作伙伴无需安装任何东西。
- 直接支持通过站点访问标准协议(SMB、RDP、VNC、HTTP)。
- 可以通过基于自定义浏览器插件的隧道来访问网站中的非标准协议。
员工使用 Cisco 的完整 SSL VPN 客户端(称为 AnyConnect)访问我们的 VPN,这为他们提供了相当于传统 IPSec VPN 隧道的功能。
不确定他们为什么让你安装证书。这可能是因为他们的 SSL 证书是自签名的,否则每次连接时都会发出浏览器警告。
希望这能澄清一切。
谢谢。
答案3
VPN 会加密您访问的数据,这样您和他们之间的其他人就无法嗅探到敏感数据。它还要求您连接到大公司的内部网络,这比拥有一个任何人都可以访问的互联网可访问页面要安全得多。让您下载证书还意味着,为了访问他们的网络,必须有人在您的一台计算机上。不能只是一些随机用户在 Web 界面上尝试登录名和密码,直到他们获得访问权限。
答案4
显然,这是许多类型的 VPN 的默认行为,无论是否基于 Cisco SSL。我遇到过 VPN 客户端无法更改客户端上的默认网关的情况,因此看起来可以在服务器端更改此行为。您应该向“大型”公司的 VPN 管理员询问本地局域网访问权限(如果您需要的话)。