Tengo un servicio web (PHP & MySQL en Ubuntu 12.04) ejecutado en una intranet corporativa. También lo he conectado a Internet a través de un firewall que permite conexiones entrantes solo en HTTPs (puerto 443). Ahora estoy considerando agregar VPN sobre él para agregar un nivel de seguridad adicional, para abrir puertos VPN y cerrar HTTPs. Eso parece ser más seguro pero también más incómodo para un usuario final. Los usuarios iniciarán sesión desde sus PC, tabletas y teléfonos utilizando un cliente VPN para acceder al servicio web y su nombre de usuario y contraseña para acceder a sus datos.
Según tengo entendido, agrega un par de inicio de sesión / contraseña adicional al proceso de autenticación y, básicamente, esa es la única ventaja. Por supuesto, tal configuración agrega el cifrado IPSec, pero no creo que el cifrado VPN sea una característica útil aquí, ya que el tráfico ya está cifrado con HTTP.
En un caso de VPN, un usuario malintencionado escanearía un servidor en busca de puertos abiertos, encontraría los puertos de VPN abiertos y comenzaría a forzar las credenciales de acceso de los usuarios de VPN antes de que pueda comenzar a aplicar fuerza bruta / código al servicio web real. p>
Pero si solo necesitaría otro par de inicio de sesión / contraseña, puedo realizar un proceso de autenticación de doble paso en el servicio web en lugar de molestar a los usuarios con una configuración de cliente VPN.
Parece que los profesionales de VPN en mi caso son: Paso de autenticación adicional utilizando un cliente VPN Cifrado IPSec Todo el mundo piensa que estás a salvo
Contras VPN son: Paso de autenticación adicional que agrega complejidad para los usuarios. Cifrado inútil de tráfico HTTPs ya cifrado Los usuarios de VPN obtienen acceso no solo al servicio web sino a toda la subred, por lo que se necesita equipo adicional para poner el servidor en DMZ.
¿Me equivoco en alguno de esos puntos? ¿Una VPN realmente agregaría más seguridad en mi caso o dará más complejidades innecesarias en vez de agregar algo útil?