保護來自使用者機器的 VPN 訪問(家庭辦公室)
我們已經有幾個人在家工作,通過 VPN 訪問一些內部伺服器。他們都在使用公司提供的筆記型電腦或個人電腦,我們可以完全控制它們。現在我們面臨著更多的人想要在家辦公但使用自己的機器。他們至少需要訪問我們的內部 IM 和文件伺服器。
讓他們從他們自己的機器上通過 VPN 訪問我們的內部網路似乎會帶來潛在的安全風險。我最關心的是讓他們訪問我們的 samba 文件伺服器。所建議的是簡單地依靠訪問病毒掃描程序來保護文件伺服器,但我並不完全相信這已經足夠了。
是否有某種訪問代理或類似的東西,我們可以放入 DMZ 並只允許外部訪問該伺服器,進行某種掃描/過濾並讓他們從那裡訪問我們的內部伺服器?最好基於開源/linux,因為我們主要使用 CentOS/RHEL 作為我們的伺服器,並希望保持這種方式(開源不應該暗示我們不願意為此付費,只需要一些我們可以的想法或產品看著)。
在這種情況下,我不願意讓 VPN 客戶端不受限制地訪問我的網路的第 3 層(及更高層)。除了您將要使用的任何應用層工具之外,在第 3 層,關於遠端 VPN 客戶端可以“對話”的內容,我會非常嚴厲。
如果您擔心針對您的文件伺服器的協議級攻擊,您可能會考慮通過 SSL 網關上的 WebDAV 公開文件伺服器。WebDAV 可以說是比 SMB 更“可審計”的協議,大多數版本的 Windows 和許多 Linux 發行版都可以很好地處理通過 WebDAV 訪問文件。
就這些 VPN 客戶端對您的文件伺服器的經典“機密性、可用性、完整性”攻擊而言,我認為您將很難找到“靈丹妙藥”解決方案。假設這些機器由第三方“擁有”(惡意軟體等),您必須假設可能存在鍵盤記錄器(因此意味著在受信任的設備中需要一次性密碼功能)。使用者有權訪問(修改等)的任何內容也將可用於這些機器上的惡意軟體。
鑑於我不太信任個人擁有的電腦,我會努力遊說讓 VPN 使用者通過“瘦客戶端”協議(X Windows、RDP、PCoIP 等)訪問託管在受信任電腦上的計算資源,並要求它們使用硬體令牌進行一次性密碼登錄。它仍然不是完美的(因為數據可能被惡意第三方注入或從瘦客戶端協議流中提取),但它可以讓遠端客戶端電腦直接訪問數據。