SITE TO SITE VPN

vpn nas 資安

chinlms 2017-09-29 12:54:43 ‧ 12375 瀏覽

請問各位大大，

如果我想把總公司跟分公司之間建立SITE TO SITE VPN，請問該注意什麼樣的問題？
以及這樣做會有那些安全性顧慮？

目前想要用的做法是，
1.因為資料儲存需求各外點會各買一台NAS。
2.外點沒有防火牆設備，所以會用NAS設備來做NAT。
3.透過這台NAS做SITE TO SITE VPN連回台北總公司，做為分點間資料交換及統一由台北出口上網的需求（台北出口端有防火牆設備）

看更多先前的討論...收起先前的討論...

黃彥儒 iT邦高手 1 級 ‧ 2017-09-29 13:14:06 檢舉

外點的NAT是要轉換到哪裡呢~?哪台NAS的NAT~？不是要交由台北負責嗎~?

lard0921 iT邦新手 4 級 ‧ 2017-09-29 13:49:16 檢舉

如果2據點只要資料分享及共用的話建議用雲端方便上手且管理也省一大步
還是說有其他需求一定需要架VPN

chinlms iT邦研究生 4 級 ‧ 2017-09-29 21:11:00 檢舉

抱歉我沒講清楚
1.分點的NAS本來是只提供當地員工使用
2.原本應該是要買一台防火牆或NAT的設備做做site to site VPN讓分點員工連回總公司
3.只是因為現在有預算考量，只好把防火牆設備砍了，改成將NAS放在小烏龜後面充當site to site VPN的連線設備

chinlms iT邦研究生 4 級 ‧ 2017-09-29 21:19:40 檢舉

4.VPN的建立並不是為了傳輸NAS的資料，而是要讓分點員工可以連回台北總部存取內部的系統

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2017-09-29 13:34:35

"總公司跟分公司之間建立SITE TO SITE VPN"
其實只保障資料傳輸間的完整性與安全，不致被竊取或竄改
樓主所擔心的安全顧慮不知為哪方面??

因為當分公司與總公司 Site to Site聯通之後
若分公司中毒或遭受綁架病毒、駭客入侵等
會直接傳給總公司，中間並無任何防護
除非這個傳輸內容層的過程中有做內容層級的資安檢核
否則只會增加網路安全的風險而已
相信這是很多人誤解VPN所謂"安全"的用意

NAS之間的同步化傳輸是很好的
若以VPN方式傳輸，是會降低其網路傳輸效能
因此樓主需要檢視其NAS中檔案的機密性來決定公司的網路傳輸架構
防火牆也不能保障網路安全
除非是有處理內容層級的安全檢核

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

chinlms iT邦研究生 4 級 ‧ 2017-09-29 21:18:51 檢舉

mytiny好，感謝你的回覆，補充說明如下

VPN的建立並不是為了傳輸NAS的資料，而是要讓分點員工可以連回台北總部存取內部的系統

2.我所擔心主要是這些外點單位只透過NAS機器去連結VPN，那這些外點除了除了員工中毒問題之外，會不會很容易受攻擊？或其他資安顧慮？

utopia iT邦新手 3 級 ‧ 2017-09-30 15:11:04 檢舉

如果外點拉VPN專線，應該沒有受攻擊的問題才對啊!

chinlms iT邦研究生 4 級 ‧ 2017-10-01 02:05:17 檢舉

utopia好，
外點拉的不是VPN專線，而是一般的FTTX上網用的網路，只是利用NAS提供的功能，讓分點間把VPN串連起來

mytiny iT邦超人 1 級 ‧ 2017-10-01 10:07:26 檢舉

根據樓主的補充說明，可以試著這樣描述
以往流量分公司進入總公司
會通過總公司防火牆，被視為外網
而外點VPN連通後，成為公司某一個網段
當網路流量再進入總公司的時候，
會被視為內網，請問有任何資安檢核嗎?
如果能讓此分公司網段一樣透過防火牆才能進入總公司
那麼就能夠依照貴公司防火牆的能力做資安防護
(但會因此而大量增加總公司防火牆負擔)

否則，從此分公司網段成為總公司內網的一部分
(要請問貴公司內網各網段間有透過火牆防護嗎?)
而且分公司可直接上網(似乎又沒防火牆)，同時又連總公司
固然資料可流通共享，但病毒、駭客、入侵也.....
希望小弟描述能夠讓樓主理解
其實很多公司都因預算考量而忽略資安
主要都是出於"長官們"無知
小弟也不認為"拉VPN專線就不會受攻擊"
事實上應該是更容易被攻擊
以上是個人淺見，無意引發爭端，供樓主自行取用