Удаленное управление только через VPN на TL-ER6020

Question 1

Если у вас есть доступ к межсетевому экрану внутри маршрутизатора, я бы запретил HTTP-пакеты, поступающие с интерфейса WAN.

Если HTTP принимается изнутри, то с VPN остается только подключиться к VPN, а затем к удаленному доступу.

Answer

Если у вас есть доступ к межсетевому экрану внутри маршрутизатора, я бы запретил HTTP-пакеты, поступающие с интерфейса WAN.

Если HTTP принимается изнутри, то с VPN остается только подключиться к VPN, а затем к удаленному доступу.

Question 2

Из ваших утверждений я делаю вывод, что как внутренние, так и WAN-сети используют публичную IP-адресацию (из-за отсутствия NAT из внутренней сети в WAN).

Поскольку вы говорите о внутренней сети как о защищенной, я предполагаю, что TL-ER6020 отклоняет/блокирует весь трафик из WAN во внутреннюю сеть и, возможно, разрешает соединения через WAN, если они инициируются во внутренней сети.

При этом вот некоторые обычно используемые подходы:

Обеспечьте безопасное прямое удаленное управление: чтобы сделать это эффективно, вам следует:
1. Используйте только безопасные протоколы (HTTP, SSH и т. д.)
2. Заблокировать все соединения от WAN к TL-ER6020, за исключением защищенного протокола управления
3. Ограничить исходные IP-адреса, разрешенные для подключения
4. Используйте очень надежный механизм аутентификации (например, при использовании SSH следует использовать ключ аутентификации RSA, а не пароль/кодовую фразу).
Если вы подключаетесь к удаленному устройству из сети со статическими IP/s, и ваше устройство поддерживает эти функции, это возможное решение. К сожалению, TL-ER6020, похоже, не может этого сделать.
Сокращение поверхности атаки путем ограничения удаленного подключения только службой VPN. Стоит отметить, что даже блокировка устройства за исключением SSH, например, уменьшает поверхность атаки. Основные преимущества подхода VPN:
1. VPN-серверы/демоны/сервисы считаются более безопасными и устойчивыми, чем большинство других служб удаленного доступа (Telnet — яркий пример). В любом случае, хорошая реализация SSH или SSL также будет надежной.
2. Фактически вы можете сократить поверхность атаки, если разрешите работу нескольких служб: например, если вы разрешите FTP, HTTP и SSH через VPN, вы откроете доступ в Интернет только к службе VPN, что фактически сократит количество компонентов, требующих интенсивного обслуживания.

Возвращаясь к реальной ситуации, учитывая, что вариант 1 не подходит для вашего устройства, вы можете воспользоваться VPN.

Ссылаясь на "На Cisco RV042 я настроил все так, чтобы PPTP входил в маршрутизатор, а затем мог получить доступ к маршрутизатору через его внутренний IP. Однако на этом маршрутизаторе настроен NAT", если предположение о вашей конструкции верно, вам просто нужно запустить VPN-подключение, а затем получить доступ к внутреннему публичному IP самого маршрутизатора. Другими словами, отсутствие NAT будет означать, что вам придется иметь дело с реальными (вероятно, публичными) IP-адресами, которые вы назначили своей внутренней сети.

Answer

Из ваших утверждений я делаю вывод, что как внутренние, так и WAN-сети используют публичную IP-адресацию (из-за отсутствия NAT из внутренней сети в WAN).

Поскольку вы говорите о внутренней сети как о защищенной, я предполагаю, что TL-ER6020 отклоняет/блокирует весь трафик из WAN во внутреннюю сеть и, возможно, разрешает соединения через WAN, если они инициируются во внутренней сети.

При этом вот некоторые обычно используемые подходы:

Обеспечьте безопасное прямое удаленное управление: чтобы сделать это эффективно, вам следует:
1. Используйте только безопасные протоколы (HTTP, SSH и т. д.)
2. Заблокировать все соединения от WAN к TL-ER6020, за исключением защищенного протокола управления
3. Ограничить исходные IP-адреса, разрешенные для подключения
4. Используйте очень надежный механизм аутентификации (например, при использовании SSH следует использовать ключ аутентификации RSA, а не пароль/кодовую фразу).
Если вы подключаетесь к удаленному устройству из сети со статическими IP/s, и ваше устройство поддерживает эти функции, это возможное решение. К сожалению, TL-ER6020, похоже, не может этого сделать.
Сокращение поверхности атаки путем ограничения удаленного подключения только службой VPN. Стоит отметить, что даже блокировка устройства за исключением SSH, например, уменьшает поверхность атаки. Основные преимущества подхода VPN:
1. VPN-серверы/демоны/сервисы считаются более безопасными и устойчивыми, чем большинство других служб удаленного доступа (Telnet — яркий пример). В любом случае, хорошая реализация SSH или SSL также будет надежной.
2. Фактически вы можете сократить поверхность атаки, если разрешите работу нескольких служб: например, если вы разрешите FTP, HTTP и SSH через VPN, вы откроете доступ в Интернет только к службе VPN, что фактически сократит количество компонентов, требующих интенсивного обслуживания.

Возвращаясь к реальной ситуации, учитывая, что вариант 1 не подходит для вашего устройства, вы можете воспользоваться VPN.

Ссылаясь на "На Cisco RV042 я настроил все так, чтобы PPTP входил в маршрутизатор, а затем мог получить доступ к маршрутизатору через его внутренний IP. Однако на этом маршрутизаторе настроен NAT", если предположение о вашей конструкции верно, вам просто нужно запустить VPN-подключение, а затем получить доступ к внутреннему публичному IP самого маршрутизатора. Другими словами, отсутствие NAT будет означать, что вам придется иметь дело с реальными (вероятно, публичными) IP-адресами, которые вы назначили своей внутренней сети.

Удаленное управление только через VPN на TL-ER6020

решение1

решение2

Связанный контент