Opciones de ubicación de dispositivo VPN

2

Actualmente estoy buscando implementar una solución VPN (basada en un Checkpoint Connectra) simplemente para proporcionar acceso remoto al personal (sin acceso de sitio a sitio o de cliente), pero la única decisión de diseño no puedo Parece que la reconciliación en mi mente es la ubicación del dispositivo VPN en la red.

Veo que hay varias opciones:

  • Dispositivo VPN en la DMZ
  • Dispositivo VPN en la LAN detrás del firewall
  • Dispositivo VPN en paralelo al firewall

La documentación del punto de control solo menciona la VPN Dispositivo en la LAN, o en la DMZ como opciones. ¿Existen razones abrumadoras para no tener el dispositivo VPN en paralelo al firewall con una ACL de enrutador WAN que dirige el tráfico VPN en la dirección del dispositivo? O, alternativamente, ¿alguna ventaja abrumadora de usar una de las otras dos opciones de ubicación?

    
pregunta Mike1980 21.02.2012 - 22:52
fuente

2 respuestas

0

Recomendaría DMZ. También considere si es para su comunidad de superusuarios (acceso a servidores críticos) recomendaría encarecidamente la autenticación de 2 factores con el servicio VPN.

El motivo de DMZ es que esta es su zona protegida si uno penetrara una capa. Tenerlo en la zona DMZ ayudará a mantener a algunos de los niños más pequeños escaneando hacia abajo. La realidad es - se puede argumentar de varias maneras diferentes. Pero lo veo más desplegado en un DMZ, a veces segmentado en su propia capa de conmutador.

    
respondido por el SecurityCrunch 22.02.2012 - 01:13
fuente
1

Asegúrese de hacer todo lo posible para desactivar todas las formas de canalizar el tráfico entre sus servidores y clientes. Me gusta el diseño de arriba:

enlace

    
respondido por el jirib 22.02.2012 - 08:53
fuente

Lea otras preguntas en las etiquetas