Мы купили брандмауэр (sonicwall nsa), и он поставляется с 2 лицензиями SSLVPN. С ним мы также можем загрузить NetExtender, который, как я понял, устанавливает своего рода сеанс VPN между локальным клиентом и нашим брандмауэром и делает локальный ПК частью нашей локальной сети. Я немного поискал информацию о безопасности этого, так как я очень обеспокоен тем, что ноутбук пользователя станет частью нашей локальной сети. Предполагается, что это устанавливает своего рода соединение IPSec? Если я правильно понимаю, пакеты зашифрованы и все такое. Вопросы:
Но я не уверен, что в этом хорошего, если ноутбук пользователя теперь является частью всей сети? Все, что на нем есть, например вирус, теперь может свободно передаваться в другую часть локальной сети. Безопасно ли это? Если нет, то предполагается, что правильное использование этого — разрешить VPN только для «администрируемых» ноутбуков и ПК, где настроены соответствующие конфигурации (брандмауэр, проверка на вирусы и т. д.)?
Является ли SSLVPN (в данном случае у меня есть только клиент SSLVPN от Sonicwall) лучшим выбором для использования в этом случае? По крайней мере, для Sonicwall их SSLVPN позволяет использовать только RDP и SSH-терминал, ограничивая использование приложений? и локальный ПК не становится частью сети. или он действительно не так безопасен, как кажется.
заранее спасибо
EDIT: отвечая на комментарий, цель SSLVPN для большинства наших пользователей — иметь возможность использовать удаленный рабочий стол.
решение1
Мне кажется, вы ставите телегу впереди лошади. Вы не обозначили никаких требований к приложениям, которые должны использовать удаленные пользователи. Без этого сложно дать конкретный ответ.
Важной частью, какую бы технологию вы ни выбрали, является то, что вы устанавливаете соответствующие элементы управления доступом. Компьютер в VPN, как правило, не имеет никаких причин общаться с чем-либо, кроме избранного набора серверов, и, скорее всего, не с рабочими станциями в удаленном офисе, и, скорее всего, не с другими VPN-клиентами.
Эта цель может быть достигнута разными способами в зависимости от используемой технологии доступа. Для первого варианта, который вы описываете, такой контроль доступа будет осуществляться на сетевом уровне с использованием правил брандмауэра. Для второго варианта вы ограничите его, настроив приложения, к которым пользователю разрешен доступ.
Как правило, такое решение, как решение SSLVPN, представленное выше, может обеспечивать большую детализацию и контроль за счет совместимости приложений.