Raccomandazione VPN di blocco / sempre attivo? [chiuso]

1

Sto cercando di creare un design per una macchina sicura, fondamentalmente un Microsoft PAW , tuttavia questa macchina ha bisogno di una VPN per l'utilizzo mentre in un ufficio a casa. In pratica, sarà solo una "macchina sorgente pulita" a un ulteriore remoto verso una VM con strumenti all'interno del luogo di lavoro.

Configurazione:

  1. Il PC deve essere utilizzato per eseguire attività di amministrazione sui server locali da parte di RDP a un desktop di amministrazione virtuale come host di salto.
  2. Il PC NON deve raggiungere QUALSIASI servizio online. sempre ... (gli aggiornamenti dovrebbero essere ricevuti da WSUS e altri servizi nella rete locale dopo la sua connessione).
  3. Il server VPN verrà posizionato dietro lo stesso firewall del desktop virtuale.
  4. L'utente del PC sarà solo utente normale, senza diritti di amministratore locale.
  5. Gli utenti hanno le capacità per prendere scorciatoie (se trovate) per bypassare le misure di sicurezza.

Q1: Quale software VPN (server / client) consiglieresti di installare (magari preferibilmente come servizio sul client), per creare una connessione sempre attiva?

Q2: La soluzione proposta è al sicuro da manomissioni dell'utente? OSSIA l'utente sarebbe in grado di modificare i file di configurazione ecc. e di accedere ad altri server con un simile software server?

Q3: L'utilizzo di Windows Firewall come "Kill-switch" o "Lock-Down" è una soluzione praticabile, se si blocca tutto tranne il software VPN exe, o forse meglio, l'IP al server VPN?

    
posta Silverdream 05.01.2017 - 16:00
fonte

1 risposta

0

Q1: farò eco a questa stessa domanda. Il più vicino che ho trovato è Microsoft Direct Access, ma non ho scavato per vedere se è una soluzione praticabile. Forse questo ti farà iniziare sulla strada giusta?

Q2: se l'utente (admin) ha diritti di amministratore per il PAW, nulla è sicuro dalla manomissione. Sarà necessario configurare il PAW in modo che gli amministratori che lo utilizzano non abbiano diritti amministrativi su di esso.

Q3: ci sto raggiungendo perché non so per certo, ma penso che se si utilizza l'accesso diretto è possibile forzare tutto il traffico di rete a passare attraverso la connessione VPN. quello che stai cercando di prevenire è chiamato "split-tunnel" dove il traffico VPN viene utilizzato solo per gli indirizzi IP associati alla tua organizzazione e tutto il resto esce dalla rete domestica ... questo è male.

Spero che ne aiuti qualcuno anche se non è una risposta completa!

    
risposta data 05.01.2017 - 17:36
fonte

Leggi altre domande sui tag