Удаленное управление только через VPN на TL-ER6020
У нас есть TL-ER6020, который мы настраиваем в режиме "Non NAT" (сторона WAN находится в/30 сети и направляет/29 сеть).
Я хочу смочь к "Удаленному, Управляют" маршрутизатором, но хотят препятствовать тому, чтобы он был доступен по HTTP от стороны WAN.
На Cisco RV042 я настроил вещи так, чтобы я был PPTP в маршрутизатор и затем смог получить доступ к маршрутизатору через его внутренний IP. Однако этому маршрутизатору настроили NAT.
Что правильный путь состоит в том, чтобы приблизиться к этой проблеме?
Если бы у вас был доступ к брандмауэру внутри маршрутизатора, я бы запретил HTTP-пакеты, приходящие с WAN-интерфейса.
Если HTTP принимается изнутри, то с помощью vpn речь идет только о подключении к vpn, а затем к удаленному доступу.
.Из ваших заявлений я понял, что и внутренняя, и WAN сети используют публичную IP адресацию (из-за отсутствия NAT из внутренней в WAN).
Теперь, поскольку вы говорите о внутренней сети как о защищенной сети, я предполагаю, что TL-ER6020 запрещает/запрещает весь трафик из WAN во внутреннюю сеть, и, возможно, разрешает соединения через WAN, если они инициированы во внутренней сети.
Сказав это, можно сказать, что это некоторые общепринятые подходы:
Разрешить безопасное прямое удаленное управление: чтобы сделать это эффективно, вы должны:
- Использовать только безопасные протоколы (HTTP, SSH и т.д.). )
- Блокировать все соединения из WAN в TL-ER6020, кроме протокола безопасного управления
- Ограничивать IP/с, разрешенные для подключения источника
- Использовать очень сильный механизм аутентификации (например, в SSH следует использовать RSA ключ аутентификации, а не пароль/пароль)
Если вы подключаетесь к удаленному устройству из сети со статическими IP/с, а ваше устройство поддерживает эти функции, то это практически осуществимое решение. К сожалению, TL-ER6020, кажется, не может этого сделать.
Сокращение площади атак путем ограничения удаленного подключения только к VPN-службе. Стоит отметить, что даже блокировка устройства, например, за исключением SSH, уменьшает поверхность атаки. Основными преимуществами VPN подхода являются:
- VPN серверы/демоны/сервисы считаются более безопасными и отказоустойчивыми, чем большинство других служб удаленного доступа (яркий пример - Telnet). В любом случае, хорошая реализация SSH или SSL также была бы сильна.
- Вы можете на самом деле уменьшить поверхность атак, когда разрешаете несколько сервисов: например, если вы разрешаете FTP, HTTP и SSH через VPN, вы подвергаете Интернету только VPN сервис, эффективно уменьшая количество компонентов, которые вам нужно сильно поддерживать.
Вернемся к реальной ситуации, учитывая, что вариант 1 кажется не подходящим для вашего устройства, вы можете перейти к VPN.
Ссылаясь на "На Cisco RV042, я настроил все так, чтобы я PPTP вставлял в маршрутизатор, а затем мог получить доступ к маршрутизатору через его внутренний IP-адрес. Однако на этом роутере была настроена NAT", если предположение о вашей конструкции верно, вам просто нужно запустить VPN соединение, а затем получить доступ к внутреннему публичному IP-адресу самого роутера. Другими словами, отсутствие NAT будет означать, что вам придется иметь дело с реальными (возможно, публичными) IP адресами, которые вы назначили для своей внутренней сети
.