我们已经有几个人在家办公,通过 VPN 访问一些内部服务器。他们都在使用公司提供的笔记本电脑或 PC,我们可以完全控制这些设备。现在我们面临着更多想要在家办公但使用自己的机器的人。他们至少需要访问我们的内部 IM 和文件服务器。
让他们通过自己的机器通过 VPN 访问我们的内部网络似乎会带来潜在的安全风险。我最担心的是让他们访问我们的 Samba 文件服务器。有人建议只依靠访问时病毒扫描程序来保护文件服务器,但我并不完全相信这足够了。
是否有某种访问代理或类似的东西,我们可以将其放入 DMZ 并仅允许外部访问该服务器,进行某种扫描/过滤并让他们从那里访问我们的内部服务器?最好是基于开源/Linux 的,因为我们的服务器主要使用 CentOS/RHEL,并且希望保持这种状态(开源并不意味着我们不愿意为此付费,只是需要一些我们可以考虑的想法或产品)。
答案1
在这种情况下,我不愿意让 VPN 客户端不受限制地访问我的网络的第 3 层(及以上)。除了您要使用的任何应用层工具外,我会在第 3 层非常严格地规定远程 VPN 客户端可以“对话”的内容。
如果您担心文件服务器受到协议级攻击,您可以考虑通过 SSL 网关上的 WebDAV 公开文件服务器。WebDAV 可以说是比 SMB 更“可审计”的协议,大多数版本的 Windows 和许多 Linux 发行版都可以很好地处理通过 WebDAV 访问文件。
就这些 VPN 客户端针对您的文件服务器发起的经典“机密性、可用性、完整性”攻击而言,我认为您将很难找到“灵丹妙药”解决方案。假设这些机器“归”第三方(恶意软件等)所有,您必须假设可能存在键盘记录器(因此意味着需要在受信任的设备中提供一次性密码功能)。用户有权访问(修改等)的任何内容也将对这些机器上的恶意软件可用。
鉴于我对个人电脑的信任程度很低,我会极力游说让 VPN 用户通过“瘦客户端”协议(X Windows、RDP、PCoIP 等)访问托管在受信任计算机上的计算资源,并要求他们使用硬件令牌进行一次性密码登录。它仍然不完美(因为恶意的第三方可能会将数据注入或拉出瘦客户端协议流),但它使远程客户端计算机无法直接访问数据。
答案2
类似 Juniper SSL VPN 的东西带有一个名为 Windows 安全访问管理器的 Windows 组件,它不完全是代理或防火墙,但它允许您指定应用程序(和 MD5 哈希以确保它确实是应用程序)和源目的地和端口。
这可能是 IM 的一个选项。
文件共享是一个棘手的问题,因为即使使用那种组件,您仍然拥有 Windows 中的驱动器或 UNC 访问权限,至少我不知道如何在 VPN 级别将其限制为只读。
根据他们需要的访问权限,一种选择是使用 VPN 的 Web 文件访问组件,这样他们就可以访问文件,但使用 Web 界面,而没有 SMB 访问。
此外,使用商业 VPN,您可以获得主机检查器,因此您可以要求机器必须具有 AV 并且必须是最新的,如果不是,请在满足规则时返回并重试。
答案3
我们有很多人从自己的电脑远程连接。我们使用 Winfrasoft 企业版 (http://www.winfrasoft.com/vpnq.htm) 检查客户端是否安装了必要的安全补丁、防病毒软件是否最新、连接共享是否已禁用等。