VPN a través de HTTP solo para un servicio web

3

Tengo un servicio web (PHP & MySQL en Ubuntu 12.04) ejecutado en una intranet corporativa. También lo he conectado a Internet a través de un firewall que permite conexiones entrantes solo en HTTPs (puerto 443). Ahora estoy considerando agregar VPN sobre él para agregar un nivel de seguridad adicional, para abrir puertos VPN y cerrar HTTPs. Eso parece ser más seguro pero también más incómodo para un usuario final. Los usuarios iniciarán sesión desde sus PC, tabletas y teléfonos utilizando un cliente VPN para acceder al servicio web y su nombre de usuario y contraseña para acceder a sus datos.

Según tengo entendido, agrega un par de inicio de sesión / contraseña adicional al proceso de autenticación y, básicamente, esa es la única ventaja. Por supuesto, tal configuración agrega el cifrado IPSec, pero no creo que el cifrado VPN sea una característica útil aquí, ya que el tráfico ya está cifrado con HTTP.

En un caso de VPN, un usuario malintencionado escanearía un servidor en busca de puertos abiertos, encontraría los puertos de VPN abiertos y comenzaría a forzar las credenciales de acceso de los usuarios de VPN antes de que pueda comenzar a aplicar fuerza bruta / código al servicio web real. p>

Pero si solo necesitaría otro par de inicio de sesión / contraseña, puedo realizar un proceso de autenticación de doble paso en el servicio web en lugar de molestar a los usuarios con una configuración de cliente VPN.

Parece que los profesionales de VPN en mi caso son: Paso de autenticación adicional utilizando un cliente VPN Cifrado IPSec Todo el mundo piensa que estás a salvo

Contras VPN son: Paso de autenticación adicional que agrega complejidad para los usuarios. Cifrado inútil de tráfico HTTPs ya cifrado Los usuarios de VPN obtienen acceso no solo al servicio web sino a toda la subred, por lo que se necesita equipo adicional para poner el servidor en DMZ.

¿Me equivoco en alguno de esos puntos? ¿Una VPN realmente agregaría más seguridad en mi caso o dará más complejidades innecesarias en vez de agregar algo útil?

    
pregunta user164863 23.06.2014 - 20:46
fuente

2 respuestas

3

Es una compensación. Probablemente estés mejor detrás de la VPN, pero a un costo.

  • VPN agregará una segunda capa de autenticación
  • VPN evita que los atacantes no autenticados ataquen la aplicación web
  • VPN aumenta la carga de soporte
  • IPSec VPN no atraviesa bien NAT
  • VPN potencialmente hace las cosas más lentas

Su servidor web ya debería estar en una DMZ. Exponer un servicio a Internet que está en una red interna (no DMZ) es un riesgo importante.

Si tiene usuarios que se autentican en la VPN, debe intentar usar algún tipo de solución de inicio de sesión único para que no tengan que autenticarse también en la aplicación. La idea de agregar 2 conjuntos de nombres de usuario / contraseñas a la aplicación es simplemente cruel para sus usuarios, y ofrecería muy pocos beneficios de seguridad (podría alentar el uso de contraseñas más débiles, aumenta la superficie de ataque).

    
respondido por el David 23.06.2014 - 21:04
fuente
1

Para responder brevemente y mantener las cosas solo desde la perspectiva de seguridad:

  • Sin VPN Su aplicación web o servidor web será vulnerable para que pueda verse comprometido.
  • Con VPN, usted confiaría principalmente en la seguridad del servidor VPN, lo que yo diría que tendría menos posibilidades de ser vulnerable que su aplicación web. Las vulnerabilidades de su servidor web o aplicación web no serían accesibles a terceros que no tengan acceso a VPN. Primero tendrían que obtener acceso a través de VPN.

También existe la seguridad de tu firewall, lo cual es importante, pero no hace ninguna diferencia en este caso.

    
respondido por el user43488 23.06.2014 - 20:55
fuente

Lea otras preguntas en las etiquetas