請問現在公司面臨一個問題是架設VPN的爭議
1.有些人說VPN只要設OTP就能保證連線者是公司的人
2.但是如果公司的人用家裡電腦或是他連入公司的電腦有病毒?
那請問這樣連到電腦會不會造成中毒阿
請問各位有沒有VPN相關的架設文章可以參考
目前只看到SSL與OTP等 很少看到有人討論到第2點
1.有些人說VPN只要設OTP就能保證連線者是公司的人
這句話只在限定情境下才成立, 他的成立要件是:
持有 OTP 裝置的人, 就是公司指定的本人
如果公司授權了一個 OTP 裝置, 但是卻被非公司授權的人拿去使用, 那他一樣可以登入 VPN, 所以上面這句話就會破功.
但是, 相對來說, 這件事情發生的機率會比其他機制更低, 所以在風險評估上, 他是相對安全的.
2.但是如果公司的人用家裡電腦或是他連入公司的電腦有病毒?
關於這件事情, 如果你是用微軟 NPS 架設 VPN 的話, NPS 可以設定規則, 偵測用戶端環境, 如果他沒有安裝指定的防毒軟體, 可以立即切斷他的 VPN 連線.
如果你的 VPN Server 沒有這種功能的話, 也可以在內網建置 IDS/IDP 系統, 隨時偵測是否有病毒在流竄? 有的話就切斷連線.
樓主觀念混淆了
VPN只能確保通訊加密可能不被窺看
OTP是用來確保通訊身分
但是防毒、防入侵又是另一回事
簡單說,透過VPN+OTP連線到公司
是不能防護公司電腦不中毒的
要使用mOTP + SSL VPN在於圖中的密鑰是關鍵. 這組必須事先安裝於使用者的裝置, 然後跟vpn設備相配合. 若是他把這組密鑰copy到別台去..別台也是可以撥的, 好在防火牆都能鎖定撥入的mac,至少不對的mac是可以限制不讓他四處亂跑.
https://ithelp.ithome.com.tw/upload/images/20180302/200213292r5zYMubNB.jpg