VPN su HTTP solo per un servizio Web

Naviga le tue risposte
3

Ho un servizio web (PHP e MySQL su Ubuntu 12.04) eseguito su una intranet aziendale. L'ho anche collegato ad internet tramite un firewall che consente le connessioni in entrata solo su HTTP (porta 443). Sto considerando ora di aggiungere VPN su di esso per aggiungere ulteriore livello di sicurezza, per aprire le porte VPN e chiudere HTTPs. Ciò sembra essere più sicuro ma anche più incongruo per un utente finale. Gli utenti effettueranno il log in dai loro PC, tablet e telefoni usando un client VPN per accedere al servizio web e il loro login e password per accedere ai loro dati.

Come ho capito aggiunge una coppia di login / password aggiuntiva al processo di autenticazione e fondamentalmente questo è l'unico vantaggio. Ovviamente una tale configurazione aggiunge la crittografia IPSec ma non penso che la crittografia VPN sia una caratteristica utile qui come il traffico già crittografato con HTTP.

In un caso di VPN un utente malintenzionato scansionerebbe un server per aprire le porte, trovare le porte VPN aperte e iniziare a utilizzare le credenziali di accesso degli utenti VPN prima di poter iniziare a inserire il servizio web effettivo.

Ma se solo avessi bisogno di un'altra coppia di login / password, posso semplicemente effettuare un processo di autenticazione in due fasi sul servizio web invece di disturbare gli utenti con un client VPN impostato.

Quindi sembra che i professionisti di VPN nel mio caso siano: Passaggio di autenticazione aggiuntivo utilizzando un client VPN Crittografia IPSec Tutti pensano che tu sia al sicuro

I contro VPN sono: Passaggio di autenticazione aggiuntivo che aggiunge complessità per gli utenti Crittografia inutile del traffico HTTP già crittografato Gli utenti VPN ottengono l'accesso non solo al servizio web ma all'intera sottorete, quindi alle apparecchiature aggiuntive necessarie per mettere il server su DMZ.

Mi sbaglio su uno di questi punti? Una VPN aggiungerebbe davvero più sicurezza nel mio caso o darà invece più complessità inutili senza aggiungere davvero qualcosa di utile?

    
posta user164863 23.06.2014 - 20:46
fonte

2 risposte

3

È un compromesso. Probabilmente stai meglio dietro la VPN, ma a un costo.

  • VPN aggiungerà un secondo livello di autenticazione
  • VPN impedisce a malintenzionati non autenticati di attaccare l'app web
  • VPN aumenta il carico di supporto
  • IPSec VPN non attraversa il NAT bene
  • la VPN potenzialmente rende le cose più lente

Il tuo server web dovrebbe già essere in una DMZ. L'esposizione di un servizio a Internet su una rete interna (non DMZ) rappresenta un rischio significativo.

Se gli utenti si autenticano sulla VPN, dovresti provare a utilizzare una sorta di soluzione single sign-on in modo che non debbano autenticarsi anche con l'app. L'idea di aggiungere 2 set di nomi utente / password all'app è crudele per gli utenti e offrirebbe pochissimi vantaggi in termini di sicurezza (potrebbe effettivamente incoraggiare l'uso di password più deboli, aumentare la superficie di attacco).

    
risposta data 23.06.2014 - 21:04
fonte
1

Per rispondere in breve e mantenere le cose solo dal punto di vista della sicurezza:

  • Senza VPN La tua applicazione web o server web vulnerabile sarà sufficiente per farti compromettere.
  • Con VPN ci si affiderebbe principalmente alla sicurezza del server VPN, che direi avrebbe una minore possibilità di essere vulnerabile rispetto alla propria applicazione web. Le vulnerabilità del tuo server web o dell'applicazione web non sarebbero accessibili da terze parti che non dispongono di accesso VPN. Dovrebbero prima ottenere l'accesso tramite VPN.

C'è anche la sicurezza del tuo firewall che è importante, ma in questo caso non fa differenza.

    
risposta data 23.06.2014 - 20:55
fonte

Leggi altre domande sui tag

Bypassare CVE-2010-4478 (convalida dei parametri J-PAKE) in OpenSSH 5.1 Trojan hardware oltre alla scheda di rete?