我们的小公司与大公司合作,必须每天访问他们的客户数据。 除了分配login名之外,他们还让我们在每台计算机上下载证书,并在Internet Explorer中以某种方式设置Cisco VPN。 login后,该浏览器无法访问我们的企业内部网,如果访问whatismyip.com ,它将显示与工作中不同的域。
什么可能是这个策略的推理? 如果我们直接在他们的networking上,而不是通过networking接口访问有限的信息,那么这不是不那么安全?
根据公司设置防火墙的大小,VPN可能会或可能不会更安全。
我认为这是“一刀切”的情况,他们可能给予每个人相同的访问权限,不pipe他们是否需要它,因为这是最便宜和最舒适的解决scheme。
在类似情况下,我向外部客户提供SSL +客户端证书访问权限,以及特定服务的用户名和密码。
客户端证书可以防止偶然的密码猜测和URL操作/注入攻击,但是仍然需要特定服务的用户名/密码,因为一旦您将客户端证书分发给某人,您无法控制他们的操作,除非智能卡,但这是一个复杂得多(看起来很贵)的故事。
我使用带有无客户端SSL VPN的Cisco ASA 5510,供我们公司的供应商和业务伙伴访问。 这是为什么它是有道理的:
当合作伙伴访问我们的VPN网站时,会进行正常的SSL(HTTPS)连接以进行encryption。 一旦到了那里,几乎所有事情都可以通过HTTPS完成,而无需创build一个完整的VPN隧道到我们的networking。 用户可以从该站点访问SMB共享,内部网站等。如果需要的话,甚至还有基于浏览器的客户端可用于RDP和VNC。 这样做的好处是:
员工使用思科完整的SSL VPN客户端(称为AnyConnect)访问我们的VPN,这使得他们相当于传统的IPSec VPN隧道。
不知道他们为什么要安装证书。 这可能是因为他们的SSL证书是自签名的,否则会在每个连接上发出浏览器警告。
希望这清除了事情。
谢谢。
VPN正在提供您正在访问的数据的encryption,以便您和他们之间的人员不能嗅探敏感数据。 它还要求你连接到大公司的内部networking,这是比任何人都可以访问的互联网访问页面更安全的方式。 让你下载证书也意味着为了访问他们的networking,有人必须在你的一台电脑上。 它不可能只是一些随机的用户在Web界面上尝试login和密码,直到他们获得访问权限。
我在浏览器中不使用vpn,但是即使在桌面vpn客户端上也会遇到问题。 这是我在Windows上能够连接到本地networking中的机器
如果你检查ipconfig /all它应该显示您的本地networkingIP以及VPN分配的IP。 假设你的本地IP是10.0.0.5,并且你想连接到本地networking的10.0.0.3。
您按如下方式添加到10.0.0.3的路由:
route add 10.0.0.3 10.0.0.5
这对我来说一直适用于多个不同的VPN。 IIRC Cisco VPN客户端还可以绕过vpn进行本地访问。
显然,对于许多types的VPN来说,这是一种默认行为,不pipe是否使用思科SSL。 我有VPN客户端的情况下,当无法更改客户端上的默认网关,所以看起来像这种行为可以在服务器端更改。 你应该问一个“大”公司的VPNpipe理员本地局域网访问(如果这是你所需要的)。
限制对VPN隧道中定义以外的任何目的地的访问被称为拆分隧道,以防止远程机器充当从互联网到专用networking的恶意软件的渠道。