iT邦幫忙

1

VPN怎麼做才能最安全?

請問現在公司面臨一個問題是架設VPN的爭議

1.有些人說VPN只要設OTP就能保證連線者是公司的人

2.但是如果公司的人用家裡電腦或是他連入公司的電腦有病毒?
那請問這樣連到電腦會不會造成中毒阿

請問各位有沒有VPN相關的架設文章可以參考
目前只看到SSL與OTP等 很少看到有人討論到第2點

看更多先前的討論...收起先前的討論...
如果是電腦,可以綁住硬體
mytiny iT邦大師 1 級 ‧ 2018-03-01 11:45:59 檢舉
樓主觀念混淆了
VPN只能確保通訊加密可能不被窺看
OTP是用來確保通訊身分
但是防毒、防入侵又是另一回事
簡單說,透過VPN+OTP連線到公司
是不能防護公司電腦不中毒的
黃彥儒 iT邦高手 1 級 ‧ 2018-03-01 12:39:42 檢舉
沒人討論第二點是因為這是基本常識吧.....
otp是綁人,看你要綁人不綁設備或是綁設備又綁人都可以
不果若是貴司只有樓主負責這件事,我看還是請專業的來吧
我真的有點亂 跟別人討論很久 還是這裡資訊比較清楚 謝謝大家
comhlp iT邦新手 4 級 ‧ 2018-03-05 15:33:27 檢舉
如果你是用防火牆 如SONICWALL NSA系列, FORTIGATE 100 SERIES OR SOPHOS X SERIES 作為VPN SERVER,你只要在VPN連入連線 的ACCESS RULES當中 配置ANTIVIRUS 掃描即可 (前題你有購買該元件的LICENSE)
6
raytracy
iT邦大神 1 級 ‧ 2018-03-01 13:22:50
最佳解答
1.有些人說VPN只要設OTP就能保證連線者是公司的人

這句話只在限定情境下才成立, 他的成立要件是:

持有 OTP 裝置的人, 就是公司指定的本人

如果公司授權了一個 OTP 裝置, 但是卻被非公司授權的人拿去使用, 那他一樣可以登入 VPN, 所以上面這句話就會破功.

但是, 相對來說, 這件事情發生的機率會比其他機制更低, 所以在風險評估上, 他是相對安全的.

2.但是如果公司的人用家裡電腦或是他連入公司的電腦有病毒?

關於這件事情, 如果你是用微軟 NPS 架設 VPN 的話, NPS 可以設定規則, 偵測用戶端環境, 如果他沒有安裝指定的防毒軟體, 可以立即切斷他的 VPN 連線.

如果你的 VPN Server 沒有這種功能的話, 也可以在內網建置 IDS/IDP 系統, 隨時偵測是否有病毒在流竄? 有的話就切斷連線.

Benchm iT邦新手 5 級 ‧ 2018-03-01 16:17:26 檢舉

大神回答得非常仔細.

非常清楚 謝謝你

2
mytiny
iT邦大師 1 級 ‧ 2018-03-01 11:47:02

樓主觀念混淆了
VPN只能確保通訊加密可能不被窺看
OTP是用來確保通訊身分
但是防毒、防入侵又是另一回事
簡單說,透過VPN+OTP連線到公司
是不能防護公司電腦不中毒的

0
b025277
iT邦新手 4 級 ‧ 2018-03-02 09:33:44

要使用mOTP + SSL VPN在於圖中的密鑰是關鍵. 這組必須事先安裝於使用者的裝置, 然後跟vpn設備相配合. 若是他把這組密鑰copy到別台去..別台也是可以撥的, 好在防火牆都能鎖定撥入的mac,至少不對的mac是可以限制不讓他四處亂跑.
https://ithelp.ithome.com.tw/upload/images/20180302/200213292r5zYMubNB.jpg

我要發表回答

立即登入回答