iT邦幫忙

0

Fortigate 60E 是否可以讓特定用戶連入某埠號(如使用SMB功能)

目前配置是固定IP->Firewall->NAS共用資料夾
固定在家中上班的同仁,目前會提供家中ip申請後開放讓他們家中ip可以存取共用資料夾
目前提供不定點工作的同仁用web的方式取用NAS資料
或是偶爾他們提供手機ip請我開通,但認為不是非常便利(不管是使用者或是我們資訊人員)
想請教是否有其他方式,譬如說手機認證或是Fortitoken的方式針對用戶做開通呢?https://ithelp.ithome.com.tw/upload/images/20220117/20136478LHWHoK5kfP.png

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

2
mytiny
iT邦超人 1 級 ‧ 2022-01-17 22:08:34
最佳解答

樓主將NAS直接公開在外,讓外部IP存取是非常不安全的
最少也要用SSL VPN的方式
登入後才能存取NAS

登入的方式
用簡單的帳號密碼也是不安全
除容易被撞庫外,Forti SSLVPN也曾有過漏洞
如果OS沒有更新到最新也不成
另外有人帳號採用 LDAP
但是帳密輸入的方式其實容易洩漏給第三人
美國菱鏡計畫史諾登就是用了主管的帳密

所以最好登入帳密的方法還是2FA
(Two-Factor Authentication)
其中一次的登入用OTP
(one-time password)
如果用Forti mobile-token
可以找一間技術比較有經驗的SI
做成 push Token的方式
就可以從手機驗證(且無需輸密碼)
對非IT人員是很簡單又安全的操作

看更多先前的回應...收起先前的回應...
pinwayne iT邦新手 5 級 ‧ 2022-01-17 22:39:54 檢舉

請教mytiny大大
如果我公開在外,但是限制使用來源的話也一樣危險嗎?

一開始確實是用SSL VPN的方式
不過Forticlient似乎經常失效
(不確定是不是要很頻繁更新)

如果這樣方式是最妥當的話,我還是恢復SSL VPN

mathewkl iT邦高手 1 級 ‧ 2022-01-17 23:00:32 檢舉

SSL VPN問題在於有匹配的FortiClient,用錯版本會連不上...
找到可連線的版本想辦法保存一份安裝檔

pinwayne iT邦新手 5 級 ‧ 2022-01-17 23:18:10 檢舉

一開始是統一在每一台電腦灌Forticleint
不過發現三不五時就要更新很多同仁抱怨不好用?

mytiny iT邦超人 1 級 ‧ 2022-01-17 23:58:18 檢舉

這個要分幾個層面說:
1.如果都不更新,前述SSLVPN漏洞用OTP可以防止,即:駭客就算有帳密,也很難很難破Token,所以金管會才會要求一定要OTP
2.如mathewkl大大所述,確實有匹配狀況,但通常是更換大版本才有可能出現,如6_2跳6_4或70,一般OS修正更新是還好
3.安全與方便是很難兩全,這也是管資安的難處,push Token可以減少操作上的困擾,可以試試看,FGT上有送兩隻免錢的Token

pinwayne iT邦新手 5 級 ‧ 2022-01-18 10:44:12 檢舉

感謝說明,先嘗試用FGT的免費Token給主管用用看,謝謝!

0
bohan1210
iT邦新手 3 級 ‧ 2022-01-19 17:50:57

我經驗上是用SSL/L2TP VPN來連入後才能給予存取。
用過Zyxel的OTP token基本上沒有上限數,但還是要看型號開出來的連線人數規格,
搭配的App是用google auth的https://community.zyxel.com/en/discussion/11043/

同樓上建議的這樣才會比較安全,但也就是....越方便越不安全,越安全越不方便
的確大家其實都偷懶的用,而且也是很多共用帳號的問題....=口=

我要發表回答

立即登入回答