現在、私のホーム ネットワークは 5 台のコンピューター (ラップトップ 3 台とデスクトップ 2 台) で構成されており、そのうち 1 台は Windows Server 2008 を実行しており、一部のファイルのホーム リポジトリとして機能しています。インターネットへのアクセスには、ワイヤレス接続 2 つと有線接続 3 つ (そのうち 1 つはスイッチ経由) を受信する Thomson TG784 ルーターを使用しています。ただし、ファイアウォールは使用しておらず、ルーターのファイアウォール機能に 100% 依存しています。これまで問題は発生していませんが、外部からここのコンピューターにアクセスできるように、VPN (RRAS または OpenVPN を使用) をセットアップしたいと考えています。問題は、これを行う必要があるかどうか確信が持てないことです。これを行うには、少なくとも 1 つのポートを 1 台のコンピューター (Windows Server 2008 のコンピューター) に転送する必要があり、私の理解では、ネットワーク全体が外部に公開されることになります。したがって、私の質問は実際には 3 つあります。
1) 現在の設定はセキュリティの面で十分でしょうか、それとも各コンピューターでファイアウォールを使用する必要があるのでしょうか (VPN やポート転送がない場合でも)?
2) このようなネットワークに VPN を設定するのは安全でしょうか、それともネットワークへの望ましくないアクセスを受けるリスクがあるでしょうか?
2) 本当に VPN を設定することにした場合、セキュリティのために VPN とネットワーク内のマシンをどのように構成すればよいですか?
答え1
ご質問にお答えします:
- 現在の設定は適切です。ルーターは、フル機能ではないものの、適切なファイアウォールとして機能します (プロフェッショナルなファイアウォールの方が優れており、より多くのオプションとディープ パケット インスペクションを提供します)。セキュリティをさらに強化したい場合は、ソフトウェア ファイアウォールを有効にできますが、ファイアウォール用にポート 3389 を開き、サーバーにのみ転送すると、VPN ユーザー名とパスワードを推測しない限り、他のコンピューターにアクセスできなくなります。
- 開いているポートや外部からのアクセスはリスクです。インターネットに接続していること自体がリスクです。とはいえ、リスクとメリットを比較検討する必要がありますが、それをできるのはあなただけです。私としてはリスクは低いと思いますし、私は何年も前から企業のためにまさにこのことをやってきました。
- 証明書サーバーを追加し、ラップトップに証明書を発行して、それらだけが VPN にアクセスできるようにする場合を除き、構成することはあまりありません。注意してください。これによりセキュリティが大幅に強化されますが、セットアップがはるかに複雑になり、おそらく Server Fault で別の質問になるでしょう。VPN をセットアップしてネットワークに接続すると、コンピューターをスイッチに仮想的に接続するのと同じになります。サーバー上のドライブにアクセスできます。または、ラップトップがリモートにあり、デスクトップ システムで Windows の Pro バージョンを実行している場合は、ラップトップを使用してデスクトップに RDP できます。このシナリオでは、すべての作業を LAN 上で実行するため、大きなファイルではほとんど遅延がなく、RDP では画面の描画とマウス/キーボードのクリックのみが発生します。
最後に、ドライブがサーバーにマッピングされていて、サーバーがそこに存在しない (ローカルまたは VPN 経由で接続されていない) 場合、ラップトップのパフォーマンスに問題が発生する可能性があります。必要に応じて、スクリプトを使用してドライブをマッピングおよびマッピング解除することをお勧めします。
答え2
Hamachi を使用します。VPN トンネルを簡単に作成でき、ルーターのポートを開く必要がありません。私はノート PC を持って旅行しますが、自宅のサーバーのファイルにアクセスする必要がある場合や、プライベート クラウドの設定や VM を更新する必要がある場合があるため、Hamachi を使用しています。