您能否將 VPN 訪問限制為僅對 RDP 進行訪問?
目前,我們組織中的所有開發人員都擁有筆記型電腦,因此他們可以偶爾在家工作,或提供非工作時間支持。不幸的是,我們的筆記型電腦硬體規格是商務筆記型電腦規格,我們進行了一場艱苦的戰鬥,試圖讓它們從 2 GB 升級到 4 GB。
我正在尋求為我們的開發人員提供更好的“開發人員級”機器的計劃,並尋找能夠仍然提供在家訪問的選項。
我們一直在考慮的一個選項是提供補充上網本,鎖定以允許 RDP 訪問他們的桌面,但希望能夠允許開發人員從他們的家用電腦簡單地 VPN 並通過 RDP 訪問他們的桌面。
但是,我們的組織對可以訪問我們網路的內容有非常嚴格的限制,並且(目前)要求只允許公司擁有和控制的設備訪問。這樣做的理由是合理的。. . 他們希望確保我們網路上引入的任何內容都受到足夠的病毒保護,並且他們希望確保公司機密/隱私數據不會被置於不受控制的環境中。
不過,我想知道的是,有什麼方法可以為我們的開發人員提供僅 RDP 的安全訪問?我們已經有一個 SecurID 基礎設施。如果這是可能的,請幫助我與我們的基礎設施提供商進行明智的交談,看看我們是否可以實現這一目標。
這取決於您的 VPN 基礎設施。一般來說,如果您可以在可充分配置以限制 VPN 客戶端流量的防火牆設備後面終止 VPN,那麼您就可以開展業務了。
例如,我在基於 Linux 的防火牆後面的一個客戶站點終止了 Microsoft PPTP VPN。iptables 規則允許 VPN 伺服器訪問 LAN 上的 RADIUS 伺服器,規則允許 VPN 客戶端 RDP 訪問各種 LAN 子網。從 VPN 客戶端進入 LAN 的所有其餘流量都將被丟棄。
我對這個配置非常滿意。我不擔心 VPN 客戶端電腦上的惡意軟體會進入我的 LAN(至少,現在還沒有……最終有人會編寫一個有針對性的攻擊,使用 RDP 協議的輔助通道功能對遠端做討厭的事情結束,或在 RDP 會話中記錄擊鍵或螢幕數據等)
發布更多關於您用來終止 VPN 的資訊,特別是,我們可能會更有幫助。最終,關鍵是能夠在“阻塞點”檢查解封裝的 VPN 流量,然後再進入您的 LAN。