¿Cómo identificar / etiquetar de forma única los dispositivos cliente para incluir en la lista blanca el acceso VPN?

1

Me pregunto si hay alguna forma de identificar o etiquetar de manera única dispositivos cliente como computadoras portátiles y torres para incluirlos en la lista blanca para el acceso a la VPN.

(Nota: este es un experimento mental en este momento, pero espero poder implementarlo en algún momento). Tenga en cuenta también que no tengo mucha experiencia con VPN.

Esto es lo que trato de hacer.

Tengo dos redes, mi LAN y mi DMZ. Quiero configurar dos VPN diferentes, una para la DMZ a la que pueden conectarse todos los dispositivos cliente con credenciales de inicio de sesión válidas (computadoras portátiles, teléfonos inteligentes, tabletas, etc.) y la otra para la LAN interna donde deseo restringir el acceso a ciertos clientes solo (p. ej., computadoras portátiles y torres de la empresa con unidades de disco duro cifradas).

El problema es que la lista blanca de IP no es una opción (creo) ya que las computadoras portátiles podrían conectarse desde casa / aeropuerto / etc.

Pensé en identificarlos con certificados de cliente ssl, pero solo he trabajado con certificados de clientes en navegadores hasta ahora y el usuario puede exportarlos y transferirlos a otra máquina.

Espero que ustedes puedan ayudarnos con esto. (Y lo siento, sé que este tema ha aparecido varias veces, pero no pude encontrar una solución).

EDITAR: un colega mencionó que cisco anyconnect tiene algún tipo de función de identificación de cliente. Voy a mirar en eso. Sin embargo, se aprecian otras opciones y ayuda sobre esto.

    
pregunta mohrphium 20.09.2013 - 09:07
fuente

2 respuestas

0

Es bastante común que las configuraciones corporativas utilicen un archivo oculto para identificar el dispositivo. Muchos sistemas VPN tienen enlaces de scripting en el cliente que utilizan para verificar el archivo oculto. Por supuesto, esto no es seguro contra un atacante experto que tiene acceso a una computadora portátil autorizada, pero sí proporciona cierta seguridad. Los certificados son una alternativa a esto.

En principio, podría utilizar la verificación de clave basada en el TPM. En realidad, nunca lo he visto implementado, por lo que no conozco los aspectos prácticos de hacerlo. Pero en principio, esta es una forma muy segura de vincular el acceso a un hardware en particular.

    
respondido por el paj28 20.10.2013 - 15:56
fuente
0

Lo siento, no sabemos más detalles sobre su infraestructura, pero básicamente le recomendaría que permanezca atento a los certificados. Quizás este Video sobre Certificaciones de Clientes ayude un poco.

Otra forma sería usar Radius Auth u otra cosa (por ejemplo, MSAD)

    
respondido por el Dr.Ü 20.09.2013 - 13:44
fuente

Lea otras preguntas en las etiquetas