iT邦幫忙

0

SITE TO SITE VPN

請問各位大大,

如果我想把總公司跟分公司之間建立SITE TO SITE VPN,請問該注意什麼樣的問題?
以及這樣做會有那些安全性顧慮?

目前想要用的做法是,
1.因為資料儲存需求各外點會各買一台NAS。
2.外點沒有防火牆設備,所以會用NAS設備來做NAT。
3.透過這台NAS做SITE TO SITE VPN連回台北總公司,做為分點間資料交換及統一由台北出口上網的需求(台北出口端有防火牆設備)

看更多先前的討論...收起先前的討論...
黃彥儒 iT邦研究生 2 級 ‧ 2017-09-29 13:14:06 檢舉
外點的NAT是要轉換到哪裡呢~?哪台NAS的NAT~?不是要交由台北負責嗎~?
lard0921 iT邦新手 5 級 ‧ 2017-09-29 13:49:16 檢舉
如果2據點只要資料分享及共用的話 建議用雲端 方便上手 且管理也省一大步
還是說有其他需求一定需要架VPN
chinlms iT邦研究生 4 級 ‧ 2017-09-29 21:11:00 檢舉
抱歉我沒講清楚
1.分點的NAS本來是只提供當地員工使用
2.原本應該是要買一台防火牆或NAT的設備做做site to site VPN讓分點員工連回總公司
3.只是因為現在有預算考量,只好把防火牆設備砍了,改成將NAS放在小烏龜後面充當site to site VPN的連線設備
chinlms iT邦研究生 4 級 ‧ 2017-09-29 21:19:40 檢舉
4.VPN的建立並不是為了傳輸NAS的資料,而是要讓分點員工可以連回台北總部存取內部的系統

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2017-09-29 13:34:35

"總公司跟分公司之間建立SITE TO SITE VPN"
其實只保障資料傳輸間的完整性與安全,不致被竊取或竄改
樓主所擔心的安全顧慮不知為哪方面??

因為當分公司與總公司 Site to Site聯通之後
若分公司中毒或遭受綁架病毒、駭客入侵等
會直接傳給總公司,中間並無任何防護
除非這個傳輸內容層的過程中有做內容層級的資安檢核
否則只會增加網路安全的風險而已
相信這是很多人誤解VPN所謂"安全"的用意

NAS之間的同步化傳輸是很好的
若以VPN方式傳輸,是會降低其網路傳輸效能
因此樓主需要檢視其NAS中檔案的機密性來決定公司的網路傳輸架構
防火牆也不能保障網路安全
除非是有處理內容層級的安全檢核

看更多先前的回應...收起先前的回應...
chinlms iT邦研究生 4 級 ‧ 2017-09-29 21:18:51 檢舉

mytiny好,感謝你的回覆,補充說明如下

  1. VPN的建立並不是為了傳輸NAS的資料,而是要讓分點員工可以連回台北總部存取內部的系統

2.我所擔心主要是這些外點單位只透過NAS機器去連結VPN,那這些外點除了除了員工中毒問題之外,會不會很容易受攻擊?或其他資安顧慮?

utopia iT邦新手 3 級 ‧ 2017-09-30 15:11:04 檢舉

如果外點拉VPN專線,應該沒有受攻擊的問題才對啊!

chinlms iT邦研究生 4 級 ‧ 2017-10-01 02:05:17 檢舉

utopia好,
外點拉的不是VPN專線,而是一般的FTTX上網用的網路,只是利用NAS提供的功能,讓分點間把VPN串連起來

mytiny iT邦大師 1 級 ‧ 2017-10-01 10:07:26 檢舉

根據樓主的補充說明,可以試著這樣描述
以往流量分公司進入總公司
會通過總公司防火牆,被視為外網
而外點VPN連通後,成為公司某一個網段
當網路流量再進入總公司的時候,
會被視為內網,請問有任何資安檢核嗎?
如果能讓此分公司網段一樣透過防火牆才能進入總公司
那麼就能夠依照貴公司防火牆的能力做資安防護
(但會因此而大量增加總公司防火牆負擔)

否則,從此分公司網段成為總公司內網的一部分
(要請問貴公司內網各網段間有透過火牆防護嗎?)
而且分公司可直接上網(似乎又沒防火牆),同時又連總公司
固然資料可流通共享,但病毒、駭客、入侵也.....
希望小弟描述能夠讓樓主理解
其實很多公司都因預算考量而忽略資安
主要都是出於"長官們"無知
小弟也不認為"拉VPN專線就不會受攻擊"
事實上應該是更容易被攻擊
以上是個人淺見,無意引發爭端,供樓主自行取用

我要發表回答

立即登入回答