目前配置是固定IP->Firewall->NAS共用資料夾
固定在家中上班的同仁,目前會提供家中ip申請後開放讓他們家中ip可以存取共用資料夾
目前提供不定點工作的同仁用web的方式取用NAS資料
或是偶爾他們提供手機ip請我開通,但認為不是非常便利(不管是使用者或是我們資訊人員)
想請教是否有其他方式,譬如說手機認證或是Fortitoken的方式針對用戶做開通呢?
樓主將NAS直接公開在外,讓外部IP存取是非常不安全的
最少也要用SSL VPN的方式
登入後才能存取NAS
登入的方式
用簡單的帳號密碼也是不安全
除容易被撞庫外,Forti SSLVPN也曾有過漏洞
如果OS沒有更新到最新也不成
另外有人帳號採用 LDAP
但是帳密輸入的方式其實容易洩漏給第三人
美國菱鏡計畫史諾登就是用了主管的帳密
所以最好登入帳密的方法還是2FA
(Two-Factor Authentication)
其中一次的登入用OTP
(one-time password)
如果用Forti mobile-token
可以找一間技術比較有經驗的SI
做成 push Token的方式
就可以從手機驗證(且無需輸密碼)
對非IT人員是很簡單又安全的操作
請教mytiny大大
如果我公開在外,但是限制使用來源的話也一樣危險嗎?
一開始確實是用SSL VPN的方式
不過Forticlient似乎經常失效
(不確定是不是要很頻繁更新)
如果這樣方式是最妥當的話,我還是恢復SSL VPN
SSL VPN問題在於有匹配的FortiClient,用錯版本會連不上...
找到可連線的版本想辦法保存一份安裝檔
我經驗上是用SSL/L2TP VPN來連入後才能給予存取。
用過Zyxel的OTP token基本上沒有上限數,但還是要看型號開出來的連線人數規格,
搭配的App是用google auth的https://community.zyxel.com/en/discussion/11043/
同樓上建議的這樣才會比較安全,但也就是....越方便越不安全,越安全越不方便
的確大家其實都偷懶的用,而且也是很多共用帳號的問題....=口=