所以我最近一直在研究VPN技术。
还有一些事情我不太明白。
假设我是一名远程开发人员,我使用 VPN 访问我公司的 svn 服务器和即时消息服务。
对于本地工作人员来说,远程工作人员看起来就像在公司的本地网络上一样,这有什么意义呢?
如果需要本地网络的服务(例如即时通讯系统),管理员是否只能将该服务配置为通过路由器和互联网到达远程工作人员?
远程工作人员和路由器之间的对话甚至可以加密,以防止中间人攻击。
我不明白现在为什么需要虚拟网络。
答案1
VPN 有很多用途 - 但您说的没错。您可以配置这些内容以通过互联网传递给远程工作人员。但是:
- 那么你就有一项关键服务暴露在互联网上
- 将其暴露在互联网上意味着路过的脚本小子会试图破解它
- 您可能会将公司的商业机密数据暴露到互联网上(我亲眼见过一个案例,版本控制系统将公司机密代码泄露到互联网上,并由于更新中发布的错误而被 Google 编入索引)
- 如果你暴露的软件有漏洞,那么你就会把它暴露给全世界
- 许多软件没有加密
- 许多内部软件几乎没有身份验证
除非你有一个非常深思熟虑的安全计划,否则在互联网上提供此类服务是不负责任和危险的。
要求员工使用 VPN 访问服务几乎可以缓解所有这些问题,并为您带来一些其他好处(例如,VPN 上的 2FA 身份验证)。
有一个中间立场,即应用程序代理(例如Azure 的应用代理) 将服务暴露给互联网仅在那之后您已通过身份验证。由于它们比 VPN 的阻力更小,因此越来越受欢迎。
另外,您是否希望公司文件服务器广泛暴露在互联网上?您的会计数据库呢?很多东西最好放在内部网络上隔离。
答案2
我认为马克·亨德森给你的观点很好,但我认为他忘记了最重要的一点。
如果需要本地网络服务(例如即时通讯系统),管理员是否能仅配置该服务通过路由器和互联网到达远程工作人员?
当然可以,但是让我们面对现实吧,什么更容易维护和更安全:
- 照看多项服务(安全漏洞、证书、来自整个世界的多次登录尝试),这些服务很可能比 IPSec/OpenVPN 等完善的 VPN 标准更不安全?
- 设置 VPN 服务器并将客户端配置为一个服务,将不会如果没有适当的重新配置和维护,也永远会成为子弹专家。
今天你需要 SVN,明天你需要 SMB 来访问一些其他公司文档,后天你可能想要唤醒你的电脑并通过 RDP 远程工作。然后还有 10 个类似的例子。四个词 - 你的管理员一次性完成了所有工作,他做到了:灵活性、可扩展性、安全性和授权。
顺便说一下:
远程工作人员和路由器之间的对话甚至可以加密,以防止 MITM 攻击。
这加密从来就不是为防止 MITM 而设计的,完整性机制才是。
答案3
VPN 可从任何地方访问?它已经很安全了?工作人员不需要重新配置任何网络,因为对他们来说,他们就像在同一个局域网上(即使他们在另一个国家/星球/世界)?您可以在一个地方管理谁做什么、有多少人可以访问以及何时访问?
我不知道哪一个是最有用的,但 VPN 是一个很棒的工具,如果它还不存在的话,就会被发明出来。