На данный момент моя домашняя сеть состоит из 5 компьютеров (3 ноутбука и 2 настольных компьютера), один из которых работает под управлением Windows Server 2008 и служит домашним хранилищем для некоторых наших файлов. Мы подключаемся к Интернету через маршрутизатор Thomson TG784, который принимает два беспроводных соединения и три проводных, одно из которых проходит через коммутатор. При этом мы нигде не используем брандмауэр и, таким образом, полностью полагаемся на возможности брандмауэра маршрутизатора. До сих пор у нас не было никаких проблем, но теперь я хотел бы настроить VPN (возможно, с помощью RRAS или OpenVPN), чтобы иметь доступ к компьютерам здесь извне. Проблема в том, что я действительно не уверен, стоит ли мне это делать, поскольку это означает переадресацию по крайней мере одного порта на один компьютер (который будет Windows Server 2008), тем самым открывая, насколько я понимаю, всю сеть наружу. Итак, у меня действительно три вопроса:
1) Является ли текущая настройка адекватной с точки зрения безопасности или нам следует использовать брандмауэр на каждом компьютере (даже без VPN или переадресации портов)?
2) Будет ли безопасно настраивать VPN в такой сети или я рискую получить нежелательный доступ к сети?
2) Если я действительно решу настроить VPN, как мне следует настроить его и машины в сети для обеспечения безопасности?
решение1
Чтобы ответить на ваши вопросы:
- Текущая настройка адекватна. Ваш маршрутизатор может работать как приличный, хотя и не полнофункциональный, брандмауэр (лучше выбрать профессиональный брандмауэр, который предложит гораздо больше опций и глубокую проверку пакетов). Если вы действительно хотите повысить безопасность, вы, конечно, можете включить программные брандмауэры, однако, если порт 3389 для вашего брандмауэра будет открыт и перенаправлен только на ваш сервер, они в любом случае не смогут добраться до других компьютеров, если только каким-то образом не угадают ваше имя пользователя и пароль VPN.
- Любые открытые порты или доступ извне — это риск: черт возьми, подключение к Интернету — это риск. Тем не менее, вы должны взвесить риски и выгоды, и только вы можете это сделать. Я бы сказал, что риск невелик, и что я делал это именно так в течение многих лет для предприятий.
- Настраивать особо нечего, если только вы не хотите добавить сервер сертификатов и выдавать сертификаты вашим ноутбукам, чтобы только они могли получить доступ к VPN. Имейте в виду, что это намного лучше вас защитит, но это гораздо сложнее в настройке и будет отдельным вопросом, вероятно, на Server Fault. После того, как вы настроите VPN и они подключатся к сети, это будет похоже на то, как будто вы виртуально подключили свой компьютер к коммутатору. Вы можете получить доступ к дискам на сервере или, если вы находитесь в ситуации с ноутбуком удаленно, а настольная система работает под управлением Pro-версии Windows, вы можете использовать ноутбук для RDP на рабочем столе. В этом сценарии вы выполняете всю работу в локальной сети, поэтому задержка с большими файлами очень мала, только прорисовка экрана и щелчки мыши/клавиатуры с RDP.
И последнее, ваш ноутбук может испытывать проблемы с производительностью, если у вас есть сопоставления дисков на сервере, а сервера там нет (не подключен локально или через VPN). Вы можете использовать скрипты для сопоставления и отмены сопоставления дисков по мере необходимости.
решение2
Используйте Hamachi. Вы можете легко создавать VPN-туннели и никогда не открывать порт на маршрутизаторе. Я использую его, так как путешествую со своим ноутбуком, но мне нужно получить доступ к файлам на моих серверах hone или мне может потребоваться обновить настройки/виртуальные машины в моем частном облаке.