Compramos um firewall (sonicwall nsa) e ele vem com 2 licenças SSLVPN. Com ele também podemos baixar o NetExtender, que entendi como o estabelecimento de algum tipo de sessão VPN entre o cliente local e nosso firewall, e tornar o PC local parte de nossa LAN. Pesquisei um pouco sobre a segurança disso, pois estou bastante preocupado que o laptop de um usuário se torne parte de nossa LAN. Suponho que isso esteja estabelecendo algum tipo de conexão IPSec? Se bem entendi, os pacotes são codificados e criptografados e tudo mais. Questões:
Mas não tenho certeza de que adianta isso se o laptop do usuário agora faz parte de toda a rede. Qualquer coisa nele, como vírus, agora está livre para passar para outra parte da LAN. Isso é seguro? Caso contrário, supõe-se que o uso correto disso seja permitir VPN apenas para laptops e PCs "administrados" onde as configurações adequadas (firewall, verificação de vírus, etc.) estão configuradas?
O SSLVPN (neste caso específico, só tenho o cliente SSLVPN da Sonicwall) é uma melhor opção de uso neste caso? Pelo menos, para Sonicwall, seu SSLVPN permite apenas terminais RDP e SSH, uso restritivo de aplicativos? e o pc local não passa a fazer parte da rede. ou realmente não é tão seguro quanto parece.
desde já, obrigado
EDIT: para responder ao comentário, o objetivo do SSLVPN para a maioria dos nossos usuários é poder usar a Área de Trabalho Remota.
Responder1
Acho que você está colocando a carroça na frente dos bois aqui. Você não descreveu nenhum requisito para os aplicativos que os usuários remotos precisam usar. Sem isso, é difícil dar uma resposta específica.
A parte importante, seja qual for a tecnologia escolhida, é que você estabeleça controles de acesso apropriados. Um computador na VPN normalmente não teria nenhum motivo para se comunicar com nada além de um conjunto selecionado de servidores, e provavelmente não com as estações de trabalho no escritório remoto e, muito provavelmente, com outros clientes VPN.
Este objetivo pode ser alcançado de diferentes maneiras, dependendo da tecnologia de acesso utilizada. Para a primeira opção descrita, esse tipo de controle de acesso seria feito na camada de rede usando regras de firewall. Para a segunda opção, você a restringiria configurando os aplicativos que o usuário tem permissão para acessar.
Normalmente, uma solução como a solução SSLVPN acima pode oferecer mais granularidade e controles, em detrimento da compatibilidade de aplicativos.