Hemos comprado un firewall (sonicwall nsa) y viene con 2 licencias SSLVPN. Con él, también podemos descargar NetExtender, que entendí como establecer algún tipo de sesión VPN entre el cliente local y nuestro firewall, y hacer que la PC local forme parte de nuestra LAN. Investigué un poco sobre la seguridad de esto, ya que me preocupa bastante que la computadora portátil de un usuario se convierta en parte de nuestra LAN. ¿Se supone que esto establece algún tipo de conexión IPSec? Si entendí correctamente, los paquetes están codificados y cifrados y todo. Preguntas:
Pero no estoy seguro de qué sirve eso si la computadora portátil del usuario ahora es parte de toda la red. Cualquier cosa que contenga, como virus, ahora puede pasar libremente a otra parte de la LAN. ¿Es esto seguro? Si no, ¿se supone que el uso correcto de esto es permitir VPN solo para computadoras portátiles y PC "administradas" donde se configuran las configuraciones adecuadas (firewall, verificación de virus, etc.)?
¿Es SSLVPN (en este caso particular solo tengo el cliente SSLVPN de Sonicwall) una mejor opción de uso en este caso? Al menos, para Sonicwall, su SSLVPN solo permite el uso restrictivo de aplicaciones de terminales RDP y SSH. y la pc local no pasa a formar parte de la red. o realmente no es tan seguro como parece.
gracias de antemano
EDITAR: para responder al comentario, el propósito de SSLVPN para la mayoría de nuestros usuarios es poder usar Escritorio remoto.
Respuesta1
Creo que aquí estás poniendo el carro delante del caballo. No ha descrito ningún requisito para las aplicaciones que los usuarios remotos deben utilizar. Sin eso, es difícil dar una respuesta específica.
Lo importante, independientemente de la tecnología que elija, es que implemente los controles de acceso adecuados. Por lo general, una computadora conectada a la VPN no tendría ningún motivo para comunicarse con nada más que con un conjunto selecto de servidores, y probablemente no con las estaciones de trabajo de la oficina remota, y probablemente tampoco con otros clientes de VPN.
Este objetivo se puede lograr de diferentes maneras dependiendo de la tecnología de acceso que se utilice. Para la primera opción que estás describiendo, este tipo de control de acceso se realizaría en la capa de red mediante reglas de firewall. Para la segunda opción, la restringiría configurando las aplicaciones a las que el usuario puede acceder.
Normalmente, una solución como la solución SSLVPN anterior puede ofrecer más granularidad y controles, a expensas de la compatibilidad de la aplicación.