我有一台 SonicWall TZ-210。
我想要一种非常简单的方法来限制对 VPN 的外部远程访问,而不仅仅是用户名和密码,但我不想购买/部署 OTP 设备,因为这对我的情况来说太过分了。
我也不想使用 IPSec,因为我的远程用户正在漫游。
我希望用户实际拥有某些东西,无论是具有加密密钥的预配置客户端还是某种证书 .cer/.pfx。
SonicWall 曾经提供“证书服务”用于身份验证,但显然很久以前就停止了这项服务。那么,大家都用什么来代替它呢?
除了“财富 500 强”昂贵的解决方案之外,我如何将 VPN 访问权限限制为仅拥有证书文件或其他文件或密码以外内容的用户?
谢谢。
答案1
根据“SonicOS 增强版 5.6 管理员指南“它们支持 Entrust、Microsoft、OpenCA、OpenSSL 和 Verisign CA。这里有一份名为“使用 OpenSSL 创建私有证书颁发机构“。这是另一份文件,标题为“将 Microsoft 的 CA 服务器与 SonicWALL 设备配合使用“。漫游用户不会阻止您使用 ipsec。请参阅上面链接的管理员指南的 vpn 部分。除了 SonicWall 许可成本和设置证书颁发机构外,除了时间之外没有其他成本。当然,设置 CA 并非一项简单的任务。
答案2
简单的答案是设置一个密钥并将其编码在加密的 .RCF 文件中。
安装 SonicWall VPN 客户端软件时,用户单击创建配置文件的 .RCF,其中包括用户从未看到、知道或输入的加密密钥。只有拥有网络管理员提供的 .RCF 才能成功创建配置文件。
用户仍然必须输入其用户名和密码。
如果用户离开公司,则会生成并分发一个包含新加密密钥的新 .RCF。
设置起来非常简单并且运行完美,但出于某种原因,SonicWall 支持没有告诉您这种为 VPN 访问建立第二个因素的简单方法。
任何猜出 VPN 登录凭据的人仍然无法进入,因为他们没有用于使用密钥创建配置文件的物理 .RCF —— 所以这比分发容易泄露、被写下来或容易猜到的登录凭据要安全得多。
用户不能将密钥泄露给任何人(或将其写下来等),因为他们从未拥有过它,尽管他们仍可能继续将 .RCF 存储在他们的机器上——这仍然使猜测密码的公众无法使用 VPN。我将 .RCF 分发到只读 CD 上,并要求在安装 VPN 后将其归还。
OTP 服务器当然更安全,但价格更昂贵,也更复杂。