Gerenciamento Remoto somente via VPN em um TL-ER6020

Gerenciamento Remoto somente via VPN em um TL-ER6020

Temos um TL-ER6020 que estamos configurando em modo "Não NAT" (o lado WAN está em uma rede /30 e roteia uma rede /29).

Quero poder "gerenciar remotamente" o roteador, mas quero evitar que ele seja acessível por HTTP do lado da WAN.

Em um Cisco RV042, eu configurei coisas para fazer PPTP no roteador e poder acessar o roteador por meio de seu IP interno. No entanto, este roteador tinha NAT configurado.

Qual é a maneira certa de abordar esse problema?

Responder1

Se você tiver acesso ao firewall dentro do roteador, eu negaria pacotes HTTP provenientes da interface WAN.

Se o HTTP for aceito internamente então com o vpn é apenas uma questão de conectar-se ao vpn e depois ao acesso remoto.

Responder2

Pelas suas declarações, entendo que tanto as redes internas quanto as WAN usam endereçamento IP público (por causa da ausência de NAT interno para WAN).

Agora, como você está falando sobre a rede interna como uma rede segura, estou assumindo que o TL-ER6020 está negando/bloqueando todo o tráfego da WAN para a interna, e talvez permita conexões através da WAN se elas forem iniciadas em a rede interna.

Dito isto, estas são algumas abordagens geralmente usadas:

  1. Habilite o gerenciamento remoto direto com segurança: para fazer isso de forma eficaz, você deve:

    1. Use apenas protocolos seguros (HTTPs, SSH, etc.)
    2. Bloqueie todas as conexões da WAN ao TL-ER6020, exceto o protocolo de gerenciamento seguro
    3. Restringir os IPs de origem permitidos para conexão
    4. Use um mecanismo de autenticação muito forte (com SSH, por exemplo, você deve usar a chave de autenticação RSA em vez de senha/frase secreta)

    Se você se conectar ao dispositivo remoto a partir de uma rede com IP/s estáticos e seu dispositivo suportar esses recursos, esta é uma solução viável. Infelizmente, o TL-ER6020 parece não ser capaz de fazer isso.

  2. Redução da superfície de ataque limitando a conectividade remota apenas ao serviço VPN. Vale ressaltar que mesmo o bloqueio do dispositivo com exceção do SSH, por exemplo, reduz a superfície de ataque. As principais vantagens da abordagem VPN são:

    1. Servidores/daemons/serviços VPN são considerados mais seguros e resilientes do que a maioria dos outros serviços de acesso remoto (Telnet é um exemplo claro). De qualquer forma, uma boa implementação de SSH ou SSL também seria forte.
    2. Na verdade, você pode reduzir a superfície de ataque ao permitir vários serviços: por exemplo, se permitir FTP, HTTP e SSH através da VPN, você exporia apenas o serviço VPN à Internet, reduzindo efetivamente os componentes que você precisa manter fortemente.

Voltando à sua situação real, dado que a opção 1 não parece adequada para o seu dispositivo, você pode optar por uma VPN.

Referindo-se a "Em um Cisco RV042, eu configurei coisas para fazer PPTP no roteador e então poder acessar o roteador através de seu IP interno. No entanto, este roteador tinha NAT configurado", se a suposição sobre seu design for correto, basta iniciar a conexão VPN e depois acessar o IP público interno do próprio roteador. Em outras palavras, a ausência de NAT significaria apenas que você teria que lidar com os IPs reais (provavelmente públicos) atribuídos à sua rede interna.

informação relacionada