Wofür wird der virtuelle Netzwerkteil eines VPN verwendet?

Es gibt viele Einsatzmöglichkeiten für ein VPN – aber was Sie gesagt haben, ist wahr. Sie könnten das Zeug so konfigurieren, dass es über das Internet zu einem Remote-Mitarbeiter geht. Aber:

• Dann ist ein kritischer Dienst dem Internet ausgesetzt
• Wenn es im Internet verfügbar gemacht wird, werden Drive-by-Script-Kiddies versuchen, sich Zugang zu verschaffen
• Sie setzen möglicherweise vertrauliche Geschäftsdaten dem Internet aus (ich habe selbst einen Fall erlebt, bei dem ein Versionskontrollsystem vertraulichen Unternehmenscode ins Internet gelangte und dieser aufgrund eines in einem Update aufgetretenen Fehlers von Google indexiert wurde).
• Wenn die Software, die Sie offenlegen, eine Schwachstelle hat, machen Sie sie für die ganze Welt sichtbar.
• Viele Softwareprogramme haben keine Verschlüsselung
• Viele Inhouse-Software verfügt über wenig bis keine Authentifizierung

Es ist unverantwortlich und gefährlich, derartige Dienste ins Internet zu stellen, sofern Sie nicht über einen äußerst gut durchdachten Sicherheitsplan verfügen.

Wenn Sie von Ihren Mitarbeitern verlangen, für den Zugriff auf die Dienste ein VPN zu verwenden, werden praktisch alle dieser Probleme gemildert und Sie erhalten noch einige weitere Vorteile (beispielsweise die 2FA-Authentifizierung beim VPN).

Es gibt einen Mittelweg, nämlich einen Anwendungsproxy (wieAzures App-Proxy), die Dienste dem Internet zugänglich machennur nachSie haben sich authentifiziert. Diese gewinnen an Bedeutung, da sie weniger Reibung verursachen als ein VPN.

Möchten Sie außerdem, dass Ihr Firmendateiserver dem Internet zugänglich ist? Und was ist mit Ihrer Buchhaltungsdatenbank? Vieles bleibt besser in einem internen Netzwerk gespeichert.

Ich denke, Mark Henderson hat Ihnen gute Argumente geliefert, aber ich glaube, er hat das Wichtigste vergessen.

Wenn ein Dienst des lokalen Netzwerks benötigt wird (beispielsweise das Instant Messaging-System), kann der Administrator den besagten Dienst dann nicht einfach so konfigurieren, dass er über den Router und das Internet zum Remote-Mitarbeiter gelangt?

Sicher kann er das, aber seien wir ehrlich: Was ist einfacher zu warten und sicherer:

• Kümmern Sie sich um mehrere Dienste (Sicherheitslücken, Zertifikate, mehrere Anmeldeversuche aus der ganzen Welt), die höchstwahrscheinlich weniger sicher sind als gut ausgereifte VPN-Standards wie IPSec/OpenVPN?
• VPN-Server einrichten und den Client als einen Dienst konfigurieren, derwird nichtauch ohne entsprechende Neukonfiguration und Wartung für immer Bullet Proof sein.

Heute brauchen Sie SVN, morgen brauchen Sie SMB, um auf andere Unternehmensdokumente zuzugreifen, übermorgen möchten Sie Ihren Computer vielleicht aufwecken und per RDP remote arbeiten. Und dann noch 10 weitere ähnliche Beispiele. Vier Worte – Ihr Administrator hat alles auf einmal getan und erreicht: Flexibilität, Skalierbarkeit, Sicherheit und Autorisierung.

Und nebenbei:

Die Konversation zwischen dem Remote-Mitarbeiter und dem Router kann sogar verschlüsselt werden, um MITM-Angriffe zu verhindern.

DerVerschlüsselungwurde nie dafür entwickelt, MITM zu verhindern; das geschieht durch den Integritätsmechanismus.

VPN ist von überall aus zugänglich? Es ist bereits gesichert? Mitarbeiter müssen nichts am Netzwerk neu konfigurieren, da es für sie so aussieht, als wären sie im selben LAN (selbst wenn sie sich in einem anderen Land/Planeten/in der anderen Welt befinden)? Sie können an einem einzigen Ort verwalten, wer was macht, wie viele Zugriff haben und wann?

Ich weiß nicht, welches davon das nützlichste ist, aber VPN ist ein großartiges Tool, das erfunden werden würde, wenn es es nicht schon gäbe.