我已经看到一些IT安全审计,要求是否为远程VPN用户实施分离隧道。 如果用户希望探索互联网的恶意地区,而不是您喜欢的新的CRM解决scheme,那么您基本上可以充当代理服务器,因此我可以从停用拆分隧道技术中获益。 我一直对禁用隧道技术感到害羞,因为我觉得这可能会导致远程WAN链路上的带宽浪费,远程服务器的过度使用等方面的意想不到的后果,这似乎相当严重。 但是另一方面,当允许分离隧道时,如恶意用户跳到你的VPN链路并造成麻烦, 也会有合法的风险。
有什么(防火墙规则,政策规则等)至less是一个“中间”解决scheme吗? 我们的目标是防止未经授权使用VPNnetworking,但是我想不出一种可靠的方式来打败一个可能的攻击者,使其不能妥协中间系统并获得访问networking的权利。
事实上,如果你的威胁模型包括通过互联网进入的对手来控制用户的PC,然后使用它来访问VPN,那么你没有太多select。 我可以提出各种解决scheme,将用户的PC划分为可以在Internet上交谈的部分,以及可以在VPN上交谈的另一部分,而这些部分之间不能通话,从分散的路由域到单独的虚拟机,但是如果对手控制着个人电脑,这一切都是徒劳的。
从技术上讲,如果你认为攻击者可以在VPNclosures的时候获得PC的控制权,然后在VPN启动的时候(非交互地)利用它,那么你就不是安全的。
所以这一切都取决于你想要考虑的威胁模型,以及你愿意去打败它多远。
除非我严重误解你的问题,否则答案是否定的。
分割隧道有效地保持了本地networking上的默认网关,而替代scheme则将其移动到隧道的远端。 既然你只能有一个活动的默认网关,那么真的不是一个中间地带。
危险不仅仅是恶意用户通过vpn客户端跳回来。 我一直比较关心vpn上网的证书等等。