我们已经有几个人在家工作,通过VPN访问一些内部服务器。 他们都使用我们完全控制的公司提供的笔记本电脑或个人电脑。 现在我们面临更多的人想要做家庭办公,但使用自己的机器。 他们至less需要访问我们的内部IM和文件服务器。
让他们通过自己的机器访问我们的内部networking似乎会带来潜在的安全风险。 我主要关心的是让他们访问我们的samba文件服务器。 有人build议仅仅依靠一个保护文件服务器的访问式病毒扫描程序,但我并不完全相信这是足够的。
是否有某种访问代理或类似的东西,我们可以把它放在一个DMZ,只允许外部访问该服务器,做一些扫描/过滤,让他们从那里访问我们的内部服务器? 我们最好使用基于开源/ Linux的版本,因为我们大多数是使用CentOS / RHEL作为服务器,并希望保持这种状态(开源并不意味着我们不愿意为此付费,只需要一些想法或产品,我们可以看着)。
在这种情况下,我不愿意给VPN客户端提供无限制的3层(或更多)访问权限。 除了你将要使用的任何应用层工具之外,在第3层,我将非常严格地讨论远程VPN客户端可以“交谈”的内容。
如果您担心针对文件服务器的协议级别攻击,则可以考虑通过SSL网关上的WebDAV公开文件服务器。 WebDAV可以说是一种比“中小企业”更“可审计”的协议,大多数Windows版本和许多Linux发行版都可以很好地处理通过WebDAV访问文件。
就这些VPN客户端对您的文件服务器的经典“机密性,可用性和完整性”攻击而言,我认为您将难以find一个“神奇的子弹”解决scheme。 假设这些机器由第三方(恶意软件等)“拥有”,您必须假定键盘logging器可能存在(因此意味着需要在受信任的设备中使用一次性密码function)。 用户将有权访问(修改等)的任何内容也可以在这些机器上的恶意软件中使用。
鉴于我相信自己拥有的计算机是多么的less,我会努力游说让VPN用户通过“瘦客户端”协议访问托pipe在可信计算机上的计算资源 – X Windows,RDP,PCoIP等,并要求他们使用硬件令牌进行一次性密码login。 它仍然不完美(因为数据可能被恶意的第三方注入到瘦客户端协议stream中或从瘦客户端协议stream中拉出),但是它可以直接访问远离远程客户端计算机的数据。
像瞻博networkingSSL VPN这样的Windows组件带有称为Windows安全访问pipe理器的Windows组件,它不是一个代理或防火墙,但它可以让你指定应用程序(和MD5哈希来确保它确实是应用程序)和源目标和端口。
这可能是一个IM的东西的选项。
文件共享是一个棘手的问题,因为即使使用这种types的组件,你仍然在Windows驱动器或UNC访问,至less我不知道一种方法来限制它在VPN级别的只读。
取决于他们需要多less访问权限,一种select是使用VPN的Web文件访问组件,这样他们可以访问这些文件,但是使用Web界面,没有SMB访问权限。
同样,对于商业VPN,您可以获得主机检查程序,以便您可以规定机器必须具有AV,并且必须是最新的,如果不是,则在符合规则时再回来重试。
我们有许多人从他们自己的电脑远程连接。 我们使用Winfrasoft企业版( http://www.winfrasoft.com/vpnq.htm )来检查客户端是否有必要的安全补丁,防病毒软件当前,连接共享禁用等。