我有一个SonicWall TZ-210。
我想要一个非常简单的方法来限制外部远程访问的VPN不仅仅是用户名和密码,但我不想购买/部署一个OTP设备,因为这是对我的情况矫枉过正。
我也不想使用IPSec,因为我的远程用户正在漫游。
我希望用户拥有某种东西,无论这是预先configuration的客户端是否带有encryption密钥或某种证书.cer / .pfx。
SonicWall曾经为authentication提供“证书服务”,但很久以前显然中断了。 那么,大家在用什么呢?
除了“财富500强”昂贵的解决scheme之外,如何限制只有持有证书文件或其他文件或密码之外的用户才能访问VPN?
谢谢。
根据“ SonicOS增强5.6pipe理员指南 ”,他们支持Entrust,Microsoft,OpenCA,OpenSSL和Verisign CA. 这是一个标题为“ 使用OpenSSL创build私人authentication中心 ”的文档。 这是另一个标题为“ 使用微软的CA服务器与SonicWALL设备 ”的文件。 漫游用户不会阻止您使用ipsec。 请参阅上面链接的pipe理员指南的vpn部分。 除了SonicWall许可证费用和build立authentication机构外,除了时间之外,没有其他成本。 授予设置CA是一项不重要的任务。
简单的答案是build立一个密钥,并在一个encryption的.RCF文件中进行编码。
在安装SonicWALL VPN客户端软件时,用户点击创buildconfiguration文件的.RCF文件,包括用户从未看见的encryption密钥,知道或进入。 只有拥有networkingpipe理员提供的.RCF才能创build成功的configuration文件。
用户仍然需要input用户名和密码。
如果用户离开公司,则会生成一个新的.RCF,并分发一个新的encryption密钥。
这个设置非常简单,而且工作完美,但由于某些原因,SonicWall支持并不能告诉你如何简单地build立VPN访问的第二个因素。
任何人都猜测VPNlogin凭证,仍然不能进入,因为他们没有物理.RCF用于创build与秘密密钥的configuration文件 – 所以这是比分发login证书更容易泄漏,写下来或很容易猜到。
用户不能把密钥交给任何人(或者把它写在某个地方等等),因为他们从来没有拥有密钥,虽然总是存在一个风险,那就是他们会继续在他们的机器上存储.RCF – 它仍然保留密码猜测公开的VPN。 我将.RCF分发到只读CD,并要求在安装VPN后返回。
OTP服务器当然更安全,但更昂贵和复杂。