Sicurezza del router di frontiera port forwarding

1

Pochi giorni fa stavo chiedendo dove posizionare il server di accesso OpenVPN per fornire la connettività di rete alle risorse LAN per gli utenti remoti. Osservando la guida dell'amministratore, una delle poche opzioni è "Un'interfaccia di rete sulla rete privata dietro al firewall". In questa configurazione, è necessario che il gateway Internet sia impostato per inoltrare il TCP / UDP desiderato. porta il traffico dall'IP pubblico all'indirizzo IP privato del server di accesso. Come minimo, un TCP porta (tipicamente la porta 443) deve essere inoltrata. So che idealmente dovrebbe essere inserito in una DMZ. Potrebbe essere necessario configurare il firewall per consentire il traffico tra l'accesso Server e la rete privata dietro il firewall. Ma la mia domanda è, che tipo di misure di sicurezza dovrei intraprendere per rendere il confine router / firewall il più sicuro possibile. Dovrei configurare il port forwarding per la porta 4443 dall'interfaccia pubblica verso l'IP 1918 assegnato a quella OpenVPN AC, e so che anche se NAT non è stato concepito per fornire sicurezza in qualche modo nasconde le mie risorse LAN, ma che altro?

Apprezzo molto qualsiasi aiuto.

    
posta adam86 30.12.2016 - 23:49
fonte

1 risposta

2

In un'impostazione aziendale, è sempre una buona idea segmentare la rete locale in modo che i compromessi in un'area non possano diffondersi facilmente.

Ma una soluzione VPN è particolarmente complicata da proteggere poiché il suo scopo è quello di portare i computer fuori dai confini di sicurezza e lasciarli entrare all'interno. Ci sarà sempre un rischio che devi conoscere e gestire.

Idealmente ci si assicurerebbe che solo i dispositivi e gli utenti legittimi possano arrivare al punto finale della VPN, usando una porta non standard può essere di qualche aiuto per tenere a bada botnet "casuali". Una forma di autenticazione a più fattori è davvero un must qui.

Inoltre, idealmente, la rete interna a cui la VPN ti connette avrebbe anche dei limiti e vorresti sicuramente ulteriori segmenti di rete protetti per servizi sensibili come i tuoi server di database.

Ad esempio, puoi consentire agli utenti remoti di accedere ad alcuni servizi aziendali come la tua Intranet ma non ad altri come i tuoi servizi finanziari e delle risorse umane.

AGGIORNAMENTO: è piuttosto difficile spiegare il layout corretto con parole semplici. Quindi, per favore fai riferimento al progetto di rete sicura SANS da la loro sala di lettura.

    
risposta data 01.01.2017 - 16:16
fonte

Leggi altre domande sui tag