יש לי רשת מקומית בעבודה (5 מחשבים + מדפסת + שרת קבצים) אשר לא מחוברת לאינטרנט.
בנוסף, יש מחשב אחד אשר מחובר קבוע לאינטרנט (ולא מחובר לרשת המקומית).
כל המחשבים עם מערכת הפעלה Windows XP.
השרת עם מערכת הפעלה FreeBSD.

אני מעוניין להתחבר לפעמים מהבית למחשב מסויים בעבודה (ב- RDP).
בבית יש לי 2 מחשבים (Windows XP + Windows 2K).

מהו הפתרון הכי מאובטח עבורי?
(יש לי גם 2 יחידות SBOX - אם זה עוזר).

איך אתה מגדיר "מאובטח" ?

מה אתה מוכן לחבר לאינטרנט?

איזה ציוד קצה, אם בכלל, אתה מוכן לקחת הבייתה?

כמה אתה מוכן לפגוע (מבחינת יציבות) במערכות הפעלה בשני הצדדים של החיבור?

האם אתה מבין שבאבטחת מידע, רמת האבטחה היא כמו החוליה החלשה ביותר, ושחיבור המחשב שלך מהבית, שעלול להיות מוגן פחות מהרשת בעבודה, הוא חוליה נוספת שמתווספת לשרשרת?

בד"כ האלמנט הפגיע בחיבור לאינטרנט הוא עצם המחשב שמחובר לאינטרנט והתקפות אפשריות אליו, יותר מאשר החיבור שעושים לקוחות לגיטימיים מול המחשב הזה (כך, לפחות, לדעתי...), כל זאת בהנחה שהמחשבים של הלקוחות הלגיטימיים הם עצמם מאובטחים ברמה מספקת.

נמאס לכם לזכור סיסמאות? לחצו כאן!

מאובטח = רק מורשים יוכלו להתחבר מרחוק ואף גורם חיצוני לא יוכל לפגוע ברשת הפנימית (גניבת מידע, שיבושים, הפרעות, ציתותים וכו').
כמובן שהמחשב שמחובר קבוע לאינטרנט (עבור גלישה) לא צריך להיות כל כך מאובטח (אבל שלא יחדרו אליו ודרכו לרשת הפנימית).

אני מוכן לחבר את כל הרשת לאינטרנט אך ורק בצורה מאובטחת.

אני מוכן לקחת הביתה SBOX ישן שרכשנו מזמן אבל אשמח לשמוע גם על פיתרון שאינו מצריך ציוד נוסף בבית.

אני מעדיף לא לפגוע ביציבות מערכות ההפעלה (וגם לא מבין, כנראה מחוסר ידע, למה לפגוע ביציבות).

כן, שהמחשב המרוחק מהווה חוליה חלשה ולכן אני רוצה לאפשר RDP בלבד.

כמובן שהאלמנט הפגיע ביותר מחובר לאינטרנט ולכן הוא צריך להיות חסין לכך (ככל האפשר).


הפתרונות שחשבתי עליהם:
1. חיבור VPN-s2s באמצעות 2 ה-SBOX
2. חיבור לקוח vpn ל-SBOX
3. חיבור לקוח vpn לשרת (לדוגמא OpenVPN)
4. חיבור FW כלשהו (לדוגמא SBOX) בין הרשת הפנימית (המאובטחת) לרשת הפנימית (הלא מאובטחת) וחיבור שרת VPN בין הרשת המאובטחת ל-FW.
(אינטרנט - נתב - חומת אש - שרת - רשת מאובטחת)

מה דעתך?

לדעתי האישית, שרת OpenVPN על OpenBSD או NetBSD שישמש כ Firewall כאשר מופעל TLS Authentication וזה עובד בפרוטוקול UDP, אמור להיות הקונפיגורציה האידאלית (המכונה בלתי נראית באינטרנט כשמנסים לסרוק אותה - מה שאני לא יכול להגיד על מוצרי צ'קפויינט!)

העובדה שקיים מוצר שנקרא SBOX שיש מי שטוען שהוא מאובטח (היצרן), לא מרשימה אותי. אין את קוד המקור שלו, ואין מושג איך הוא עובד, וחברות רבות משתמשות במוצרי החברה הזאת ובכל זאת פורצים אליהן, כך ש... בהחלט ייתכן שיש "שוק" של black-hat שמחזיק ידע עליו שאין לשאר העולם, וגם מנצל אותו, ואף אחד לא יגלה, כי לא עושים auditing על קוד המקור שלהם...

אבל קח בחשבון שאם אתה מאפשר לרשת שמאחורי הפיירוול גם להתחבר לאינטרנט במובן של גלישה וכו' - אתה פותח אותה לסיכונים הרבה יותר גדולים מעצם קיומו של ה VPN. שימוש בחלונות באינטרנט הוא דבר מסוכן בהגדרה - ופיירוול לא יכול להגן עלייך מפניו. IPS יכול לנסות, אבל גם לא תמיד להצליח. קח בחשבון.

לגבי "מדוע לפגוע ביציבות מערכת ההפעלה" - ובכן - משום שכל המוצרים המסחריים עם מימוש ה IPsec שלהם, נכנסים לתוך הקרנל של מערכת ההפעלה כדי לעבוד (כי הם הרי צריכים לשנות את IP ברמה שבה הקרנל עובד) - מה שאומר שהקוד של היצרן המסחרי "חי" בתוך הקרנל שלך. כמו בכל (נראה לי) מוצר מסחרי, גירסאות משוחררות מתי שמנהל המוצר החליט שצריך לשחרר אותן, ולא מתי שסיימו לטפל בכל הבאגים. ומכאן בעיות יציבות. ב OpenVPN, לעומת זאת, כל הפעולה נעשית ברמת user space ובכלל אין צורך בריצה בהרשאה אדמיניסטרטיבית עבור הפרוסס של ה VPN, למעט בשלב החיבור והניתוק, שאז הדבר היחיד שהוא עושה זה להוסיף ולהוריד route-ים. ככה זה שאתה לא עובד עם IPsec. וראה גם: http://www.linux.com/archive/feature/48330

נמאס לכם לזכור סיסמאות? לחצו כאן!

צירפתי תרשים.
https://2009-uploaded.fresh.co.il/2...19/13694161.odg

בתצורה זו, המחשב שמוחבר לאינטרנט עבור גלישה, נמצא לפני שרת ה-VPN.
1. האם תצורה זו בכלל אפשרית?
2. האם היא נותנת מענה לסיכון שמחשב הגלישה באינטרנט יפגע ברשת הפנימית?

בנוסף, לא כל כך הבנתי את הקטע האחרון עם ה-IPsec.
האם OpenVPN לא עובד עם IPsec?
האם הוא מאובטח מספיק?
האם הקישור מוצפן?

1. אפשרית אך הקופסא שעושה OpenVPN צריכה בעצמה לעשות ניתוב (תצטרך להפעיל IP Routing). תוכל גם לאפשר דרכה יציאה החוצה לאינטרנט למחשבים שמאחוריה (אם תרצה, על ידי הפעלת NAT וחוקים מתאימים בפיירוול). כמו"כ תצטרך לעשות הפניית פורט נכנס (1194 udp) בנתב ל IP של כרטיס הרשת החיצוני של מכונת ה OpenVPN.

2. כן, אם יהיו חוקים בפיירוול שיחסמו כניסה מבחוץ, גם המחשב הזה יחשב חיצוני.

לא, OpenVPN לא עובד עם IPSec. הוא משתמש ב SSL, אותו פרוטוקול שבו אתה מעביר את כל המידע המוצפן שלך מול אתרים באינטרנט. רק שבשונה מהאינטרנט, אתה יכול לבחור לבד באיזה אלגוריתם הצפנה ובאיזה צופן אתה רוצה להשתמש, ולהשתמש באיזה גודל מפתח שאתה רוצה (בא לך 8192 ביט? לך על זה!) כי אתה זה שיוצר אותם.

לגבי אם הוא מאובטח - לא יודע - אתה מוזמן לחפש באינטרנט אם מצאו בו בעיות אבטחה. בקישור שנתתי יש הסבר על ההגנות השונות ש OpenVPN מאפשר, וספציפית ה TLS Authentication שבכלל מונע מלקוח לנסות להתחבר אם הוא לא "דופק בדלת בצורה הנכונה". - כלומר - המכונה שלך די בלתי נראית למי שמנסה לסרוק כתובות מחשבים כדי לראות אם היא קיימת...

מוצפן - כאמור - כן, באמצעות SSL. הכל כתוב במאמר שהבאתי.

שים לב: אני לא יודע על מה אתה מגן כל כך, ואין בשום מה שכתבתי התחייבות לאי-פריצה למערכת שלך. אם אתה מחזיק שם מידע מסווג או משהו כזה, עלייך להתייעץ עם גורם בטחון המידע שאחראי עליו... (למרות שלצערי, לפחות בנסיון העבר שלי עם אנשי ב"מ, הם בד"כ מבינים פחות מילד בן 10 :\ )

נמאס לכם לזכור סיסמאות? לחצו כאן!

ראשית כל, תודה רבה על העזרה.
אמנם עדיין לא החלטתי אם ואיך לחבר, אך כרגע לפחות אני חושב לבחור באופצייה של OpenVPN מאחורי המודם/נתב/FW הפשוט שיש לי ולאפשר רק RDP.
בנוסף, אני שוקל להשתמש גם ב-eToken (תלוי בעלויות ובשיפור האבטחה).

שאלות נוספות:
1. האם וירוס במחשב בבית, יכול לגרום לחדירה לא מורשית למחשב בעבודה?
לדוגמא: אם וירוס מקליט את הקשות המקלדת שלי (כתובת, משתמש וסיסמא לשרת VPN).

2. כנ"ל לגבי גישה לאתרי אינטרנט מאובטחים (לדוגמא בנקים). האם זה בטוח?

3. האם eToken מונע גישה בלתי מורשית (גם במידה ולמישהו יש את כל פרטי החיבור)?

4. האם ישנו לקוח VPN ללינוקס בכלל ואובונטו בפרט שניתן להתחבר באמצעותו לצ'קפוינט (SBOX) או סיסקו (PIX).

1. מי שיש לו גישה למחשב שלך, יוכל לדרכו לצאת למחשביך בעבודה, בדיוק כמו שאתה עושה את זה...

2. אותה תשובה, מי שיש לו גישה למחשבך, יכול לדעת כל מה שאתה עושה, וזה לא משנה אם החיבור בינך לבין מחשבים אחרים מוצפן או לא, כשהוא קורא מהמקלדת באופן שאינו מוצפן...

3. לא. הוירוס רץ על מחשביך כמו כל תוכנה אחרת. הוא יכול לבצע את פעולותיו מול המחשבים המרוחקים אחרי שהתחברת. הוא לא צריך את ה eToken כיוון שאתה כבר שמת אותו ואתה כבר מחובר. הפתרון הנכון הוא להשתדל שלא יהיו לך וירוסים. יש דרך קלה: לא להתחבר ממחשבי חלונות...

4. לסיסקו אני יודע שיש, או לפחות לגירסאות מסויימת שלהם:

קוד:

$ eix vpnc
* net-misc/cisco-vpnclient-3des
     Available versions:  4.6.03.0190-r1!f!s 4.7.00.0640-r1!f!s 4.8.00.0490-r1!f!s ~4.8.01.0640!f!m!s {kernel_linux}
     Homepage:            http://cco.cisco.com/en/US/products/sw/secursw/ps2308/index.html
     Description:         Cisco VPN Client (3DES)

[I] net-misc/kvpnc
     Available versions:
        (0)     ~0.7.2 ~0.8.6.1 0.8.8 ~0.8.9 ~0.9.0
        (1)     ~0.9.1
        {arts cisco crypt debug elibc_FreeBSD linguas_bg linguas_ca linguas_da linguas_de linguas_es linguas_fr linguas_hu linguas_it linguas_ja linguas_nl linguas_pl linguas_pt_BR linguas_ru linguas_sk linguas_sv linguas_tr linguas_zh_CN smartcard xinerama}
     Installed versions:  0.8.8(15:09:32 10/16/08)(arts xinerama -debug -elibc_FreeBSD)
     Homepage:            http://home.gna.org/kvpnc/
     Description:         kvpnc - a KDE-VPN connection utility

* net-misc/networkmanager-vpnc
     Available versions:  ~0.6.4_p20070621 ~0.7.0 ~0.7.1 {crypt debug doc gnome}
     Homepage:            http://www.gnome.org/projects/NetworkManager/
     Description:         NetworkManager VPNC plugin.

[I] net-misc/vpnc
     Available versions:  0.5.3 {bindist hybrid-auth resolvconf}
     Installed versions:  0.5.3(02:52:38 04/13/09)(-bindist -hybrid-auth -resolvconf)
     Homepage:            http://www.unix-ag.uni-kl.de/~massar/vpnc/
     Description:         Free client for Cisco VPN routing software

Found 4 matches.

חיפוש דומה על המילים "check point", "secure client" לא הניב דבר במנהל החבילות שלי (לא אומר שאין...). זכור לי שכשיצאה ויסטה, הצלחתי להפעיל עליה (אמנם אחרי "טיפול" קל ב UAC המזופת הזה) את OpenVPN מיד. ללקוח של צ'קפויינט לקח כמה חודשים טובים עד שהצליחו להוציא משהו עובד - אחרי שויסטה הייתה כבר משהו כמו שנה ב public beta... אז אם הייתי צריך לנחש, בטח לא איכפת להם מלינוקס יותר מדי, למרות שתמיד יש הפתעות... בכל אופן המילה linux לא מופיעה בדף ההורדות שלהם... http://www.checkpoint.com/downloads...wnloads_sr.html

נמאס לכם לזכור סיסמאות? לחצו כאן!

סליחה שאני חוצפן אבל חלאס אתה יותר מדי לחוץ...יש לי משרד של 200 עובדים בר"ג עם 8 שרתים ואני לא לחוץ כמוך...אבל לא משנה

אם יש לך חשש לוירוסים
אז אתה יכול להתקין מכונה וירטואל עדיפות למערכת לינוקס או XP שכולל חסימה גישה כוללת למחשב ותפתח רק חיבור RDP + VPN פורט 80 תסגור ( רמז קטן)

בשביל השקט שלך תתקין אנטי וירוס BitDefender כולל חומת אש

בהצלחה

בטח העובדים שלך מפחדים ממך רצח