Ofis sunucusuna uzaktan VPN erişim seçenekleri güvenlik karşılaştırması
Şirket içindeki sunucuya ofis dışından erişim için kullanılacak yöntemler arasında en yaygın olanı genelde ağa bağlı olan firewall cihazın sslvpn servisini kullanmak oluyor. Lakin bunun için firewall cihazların client uygulamalarını çalıştırmak, kullanıcı adı şifre girmek vs gibi işlemler gerekmekte ve zaman kaybedilmektedir.
Öteyandan Windows Server işletim sistemlerinde halihazırda mevcut olup arada firewall cihazı olmadan yapılandırılabilecek VPN bağlantı köprüsü daha pratik gibi gözüküyor. Client makine bir kereye mahsus sunucu bilgilerini, Active directory kullanıcı adı ve şifresini giriyor bağlanıyor kaydediyor ve sonra tekrar bağlanmak istediğinde sağ alt köşedeki ağ bağlantı noktalarında bu vpn noktasını şirket ismiyle görünüyor, tek tıkla hızlı bir şekilde bağlanabiliyor.
Sizce ikinci yöntemin tercih edilmesi güvenlik anlamında yüksek bir tehlike barındırıyor mu, yoksa bahsedilen pratikliğin tolere edilebileceği kadar düşük bir risk mi mevcut.
Teşekkürler.
VPN olarak L2TP, PPTP veya IKEv2 protokollerini kullanırsan Windows bunları native olarak desteklediği için aşağıdan sağ tıklayıp çat diye girebilirsin dediğin gibi. Kullandığın firewall ne bilmiyorum ama çoğunda zaten L2TP desteği olur mesela, onu aktif hale getirip dediğin gibi bağlanabilirsin.
docs.microsoft.com
Bunların güvenilir olup olmaması tamamen konfigürasyonuna bağlı: www.howtogeek.com
Bir güvenlik firmasına danışmanızı ısrarla öneririm, zira yanlış bir konfigde içeri girip tüm dosyalarınızı şifreleyebilirler.
Bir sunucuyu doğrudan internete açmak risk barındırır. Birebir açmasanız bile IPSec protokolü için belirli bir aralığı açmanız gerekir. Burada risk protokollerde çıkabilecek zafiyetleri ne sıklıkla takip edip haberdar olacağınızdır.
uygulama katmanında oluşacak bir zafiyette, internete doğrudan açık kapısı bulunan internal bir sunucu büyük risk içerir. özellikle bunun domain ortamına entegrasyonu da var ise tüm domain ortamınızı bu zafiyetin yüzeyi haline getirirsiniz.
firewall üreticilerinde de, vpn servisleri için son 6 ay içerisinde ciddi zafiyetler tespit edildi ama bunların etki alanı daha düşük oluyor ve üretici kısa sürede yama paylaşıyor. neticede içeride hiç yoksa bir segmentasyona tabi oluyorlar. ayrıca ilgili firewall'ların clientlarında session kaydedebilir, sadece password yazarak bağlanabilirsiniz.
uzak bağlantı yapacak kullanıcı sayısı fazla değil ise remote admin tool'ları da iş görebilir.
Her ikinize de tesekkur ederim arkadaslar. Soylediklerinizi detayli inceleyecem. sevgiler saygilar.