Come identificare / contrassegnare in modo univoco i dispositivi client per l'accesso alla whitelist VPN?

1

Mi sto chiedendo se esiste un modo per identificare o taggare in modo univoco i dispositivi client come computer portatili e torri al fine di autorizzarli per l'accesso a VPN.

(Nota: questo è un esperimento sul pensiero al momento, ma spero di poterlo implementare ad un certo punto). Tieni inoltre presente che non ho molta esperienza con le VPN.

Ecco cosa cerco di fare.

Ho due reti, la mia LAN e la mia DMZ. Voglio configurare due diverse VPN, una per la DMZ a cui possono connettersi tutti i dispositivi client con credenziali di accesso valide (laptop, smartphone, tablet, ecc.) E l'altra per la LAN interna dove voglio limitare l'accesso a determinati client solo (ad es. laptop e torri aziendali con HDD crittografati).

Il problema è che la whitelist IP non è un'opzione (credo) poiché i laptop potrebbero connettersi da casa / aeroporto / ecc.

Ho pensato di identificarli con certificati client SSL, ma ho lavorato solo con i certificati client nei browser fino ad ora e quelli possono essere esportati dall'utente e spostati su un'altra macchina.

Speriamo che voi ragazzi possiamo aiutarci con questo. (E mi dispiace, so che questo argomento è uscito un paio di volte ma non sono riuscito a trovare una soluzione).

EDIT: un collega ha menzionato che cisco anyconnect ha una sorta di funzionalità di identificazione del client. Lo esaminerò. Ancora, altre opzioni e aiuto su questo è apprezzato!

    
posta mohrphium 20.09.2013 - 09:07
fonte

2 risposte

0

È abbastanza comune che le impostazioni aziendali utilizzino un file nascosto per identificare il dispositivo. Molti sistemi VPN hanno hook di scripting nel client che usano per verificare il file nascosto. Naturalmente, questo non è sicuro contro un abile aggressore che ha accesso a un laptop autorizzato, ma fornisce un po 'di sicurezza. I certificati sono un'alternativa a questo.

In linea di principio è possibile utilizzare la verifica della chiave basata sul TPM. In realtà non l'ho mai visto implementato, quindi non conosco le modalità pratiche per farlo. Ma in linea di principio questo è un modo molto sicuro per legare l'accesso a particolari hardware.

    
risposta data 20.10.2013 - 15:56
fonte
0

Mi dispiace che non conosciamo altri dettagli sulla tua infrastruttura, ma fondamentalmente ti consiglierei di rimanere aggiornato sui certificati. Forse questo video sui certificati client aiuta un po '.

Un altro modo sarebbe utilizzare Radius Auth o qualcos'altro (ad es. MSAD)

    
risposta data 20.09.2013 - 13:44
fonte

Leggi altre domande sui tag