Как организовать доступ к закрытым внутренним ресурсам

В этой статье я кардинально не открою ничего нового, соберу в кучу то, что уже встречалось на сайте ранее (ну плюс-минус кое-какие размышления).

Проблема

Проблема вопроса такова, есть у нас корпоративная сеть, к ресурсам которой нужно получить доступ из-за пределов этой самой сети (из дома, из удалённого офиса и т.д.). При этом сделать это так, чтобы не сильно просела безопасность, ибо всем нам хорошо известно, что удобство и безопасность обычно взаимоисключающие критерии, – чем больше одного, тем меньше другого. Поехали!

Публикация внешних ресурсов в сети

Вешаем на нужные сервера белые IP-адреса (маршрутизируемые в Интернете) и наслаждаемся полной прозрачностью процесса. Доступ из любого места без предварительных настроек. Можно повесить несколько IP-адресов на сетевой интерфейс.

Минусы очевидны – готовимся к наплыву пылких китайских (и не только) хакеров. Вот, например, как в одной из статей, когда систему с белым адресом взломали за считанные…

Туннелирование в безопасном протоколе

Интересная технология – туннелирование SSH, я описывал работу с данным механизмом в соответствующей статье. Если коротко – организуется защищённое соединение по протоколу SSH до “точки приземления” – секурном SSH-шлюзе, уже через который организуется ретрансляция на другие ресурсы сети. Так как точка входа извне всего одна – сервис SSH – защитить его не так уж и сложно (ключи, длинные пароли, Knocking и т.д.).

Минусы – некоторая сложность в настройке и сложность при работе с несколькими портами.

Проброс порта за NAT

Разновидность Destination-NAT – пакет прилетает на заранее заготовленный порт сервера, сервер уже в зависимости от определённых правил трансляции, перенаправляет указанные пакет внутрь сети на определённый внутренний узел:порт, подменяя адрес назначения. Для ответа – проводятся обратные действия. Клиент общается со шлюзом так, будто бы это и есть внутренний узел. Прочитать про этот механизм можно например в статье Mikrotik проброс портов.

Изображение с: https://smartadm.ru/

Минусы тоже есть. Для атакующих этот порт будет виден без проблем, разве что номер другой и не понятно кому конкретно он принадлежит. При полном сканировании вся хитрость вскроется и выгоды будет не очень много.

VPN-туннели

При помощи VPN можно подключить удалённого клиента внутрь сети или даже объединить несколько разрозненных сетей в одно адресное пространство (site-to-site), а то и вовсе под L2. Этот вариант мне видится наиболее безопасным, но одновременно и наименее удобным, т.к. требует дополнительной настройки и установки программного обеспечения. Но, повторюсь, наиболее секурный.

Минусы – ну вроде тока сложность первоначальной настройки.

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply