Seguridad del enrutador de borde de reenvío de puerto

1

Hace unos días, preguntaba dónde colocar el servidor de acceso OpenVPN para proporcionar conectividad de red a los recursos de LAN para usuarios remotos. Mientras observa la guía de administración, una de las pocas opciones es "Una interfaz de red en una red privada detrás del firewall". En esta configuración, se requiere que la puerta de enlace de Internet esté configurada para reenviar el TCP / UDP deseado. tráfico de puerto desde la IP pública a la dirección IP privada del servidor de acceso. Como mínimo, un TCP el puerto (normalmente el puerto 443) necesita ser reenviado. Sé que idealmente debería ser colocado en una DMZ. Es posible que el firewall deba configurarse para permitir el tráfico entre los accesos Servidor y la red privada detrás del firewall. Pero mi pregunta es, ¿qué tipo de pasos de seguridad debo emprender para hacer que el enrutador / cortafuegos fronterizo sea lo más seguro posible? Tendría que configurar el reenvío de puertos para el puerto 4443 desde la interfaz de acceso público a la IP de 1918 asignada a ese OpenVPN AC, y sé que aunque NAT nunca tuvo la intención de brindar seguridad, de alguna manera oculta mis recursos de LAN, ¿pero qué más?

Aprecio mucho cualquier ayuda.

    
pregunta adam86 30.12.2016 - 23:49
fuente

1 respuesta

2

En una configuración empresarial, siempre es una buena idea segmentar la red local para que los compromisos en un área no se puedan propagar fácilmente.

Pero una solución VPN es particularmente difícil de proteger, ya que su propósito principal es sacar a las computadoras fuera de su límite de seguridad y dejar que se conviertan en un túnel. Siempre habrá un riesgo que debe conocer y gestionar.

Lo ideal sería asegurarse de que solo los dispositivos legítimos y los usuarios puedan llegar al punto final de la VPN; usar un puerto no estándar puede ser de alguna ayuda para mantener a raya las redes de bots "informales". Alguna forma de autenticación multifactor es realmente una obligación aquí.

Lo ideal es que la red interna a la que te conecta la VPN también tendría limitaciones y seguramente querrías más segmentos de red protegidos para servicios confidenciales como los servidores de tu base de datos.

Por ejemplo, puede permitir que los usuarios remotos accedan a algunos servicios empresariales, como su Intranet, pero no a otros, como sus servicios de finanzas y recursos humanos.

ACTUALIZACIÓN: es bastante difícil explicar el diseño correcto con solo palabras. Entonces, consulte el documento SANS diseño de red segura de su sala de lectura.

    
respondido por el Julian Knight 01.01.2017 - 16:16
fuente

Lea otras preguntas en las etiquetas