Come gestire un ufficio remoto e un client che richiede la whitelist IP?

2

Sviluppatore .NET qui, fuori dalla mia zona di comfort su questo.

La mia azienda di software sta andando in remoto, dove i dipendenti possono lavorare da casa, Starbucks, un ufficio Regus, in Spagna, ovunque. Uno dei nostri clienti richiede la whitelist IP per accedere ai propri server, quindi mi chiedo come evitare di dover inviare loro nuovi IP alla whitelist ogni giorno.

Non stiamo cercando di pubblicizzare questa mossa aziendale per i nostri clienti, quindi idealmente, mi piacerebbe trovare una soluzione che richiede uno sforzo minimo o nullo da parte dei nostri clienti.

Qualcuno qui che è stato in una situazione simile, come hai risolto questo dilemma?

Grazie.

    
posta kmdsax 23.06.2015 - 23:59
fonte

1 risposta

4

Non sono sicuro che si tratti davvero di una questione di sicurezza delle informazioni di per sé o più di una sulla rete generale; ma qui va:

Se si dispone di un numero di IP dinamici che si connettono a un client che richiede la whitelist, ciò comporterà il ping costante del client per aggiornare gli ACL per consentire gli IP man mano che cambiano. Mentre nelle moderne connessioni residenziali questo accade raramente, è sufficiente essere un'interruzione.

Il modo in cui la maggior parte delle aziende si occupa di questo è stabilire un host bastion o una VPN.

L'host bastion

Un host di bastion è un server sicuro e resistente a cui sono collegati utenti autorizzati. Il suo ruolo è di consentire a questi utenti di collegarsi in remoto e quindi "rimbalzare" da esso per connettersi ad altri server sicuri. Ovviamente, l'host bastion dovrebbe avere un IP statico (potrebbe essere un server cloud, ad esempio).

Questo è utile per SSH, Desktop remoto o connessioni simili, ma quando si ha bisogno di una connettività di rete più robusta, una VPN è spesso la soluzione giusta.

La VPN del tunnel completo o split

Una VPN a tunnel completo è una connessione VPN che rende tutto il traffico dal client VPN su VPN. Pertanto, tutti gli host / siti web remoti vedono il traffico proveniente dall'IP del VPN Concentrator e non quello dell'utente finale.

Puoi stabilire una VPN tunnel completa sul tuo sito e farti connettere dagli utenti. Quindi, possono connettersi normalmente al server del client. Il server del cliente può solo autorizzare l'indirizzo IP pubblico della tua VPN, quindi qualsiasi utente connesso alla VPN a tunnel completo sarà autorizzato e in grado di stabilire la connettività.

Questo sistema ha degli svantaggi in quanto può causare connessioni lente sul lato dell'utente finale e rallentare la connessione Internet del concentratore VPN. È inoltre possibile configurare la VPN come "split tunnel" e inviare solo traffico specifico su di essa. In questo caso, è possibile specificare che il traffico verso gli indirizzi IP dei server del cliente o l'intervallo vadano oltre la VPN, mentre l'altro traffico internet generale passa attraverso la normale connessione Internet senza attraversare la VPN. Ciò conserverà la larghezza di banda sul lato VPN e porterà a una connessione Internet più veloce per gli utenti connessi alla VPN.

    
risposta data 24.06.2015 - 00:15
fonte

Leggi altre domande sui tag