我们的小公司与大公司合作,必须每天访问他们的客户数据。除了分配登录名之外,它们还让我们在计划使用的每台计算机上下载证书,并以某种方式在 Internet Explorer 中设置 Cisco VPN。登录后,该浏览器无法访问我们的公司内部网,如果我访问whatismyip.com,它显示的域与工作中的域不同。
这种策略的原因可能是什么?如果我们直接在他们的网络上,而不是通过 Web 界面访问有限的信息,那会不会更不安全?
AskOverflow.Dev
我们的小公司与大公司合作,必须每天访问他们的客户数据。除了分配登录名之外,它们还让我们在计划使用的每台计算机上下载证书,并以某种方式在 Internet Explorer 中设置 Cisco VPN。登录后,该浏览器无法访问我们的公司内部网,如果我访问whatismyip.com,它显示的域与工作中的域不同。
这种策略的原因可能是什么?如果我们直接在他们的网络上,而不是通过 Web 界面访问有限的信息,那会不会更不安全?
我使用带有无客户端 SSL VPN 的 Cisco ASA 5510 来访问我们公司的供应商和业务合作伙伴。这就是它有意义的原因:
当合作伙伴访问我们的 VPN 网站时,会建立一个正常的 SSL (HTTPS) 连接以进行加密。到达那里后,几乎所有事情都可以通过 HTTPS 完成,而无需为我们的网络创建完整的 VPN 隧道。用户可以从站点访问 SMB 共享、内部网站等。如有必要,甚至还有基于浏览器的客户端可用于 RDP 和 VNC。这样做的好处是:
员工使用思科的完整 SSL VPN 客户端(称为 AnyConnect)访问我们的 VPN,这为他们提供了相当于传统 IPSec VPN 隧道的功能。
不知道他们为什么要你安装证书。这可能是因为他们的 SSL 证书是自签名的,否则会在每次连接时引发浏览器警告。
希望这可以解决问题。
谢谢。
根据大公司设置防火墙的程度,VPN 的安全性可能会也可能不会降低。
我认为这是“一刀切”的情况,他们可能为每个人提供相同的访问权限,无论他们是否真的需要它,因为这是最便宜和最舒适的解决方案。
在类似的情况下,我为外部客户提供 SSL+客户端证书访问权限,以及特定服务的用户名和密码。
客户端证书可以防止随意的密码猜测和 URL 操作/注入攻击,但是仍然需要特定服务的用户/通行证,因为一旦您将客户端证书分发给某人,您就无法控制他们如何使用它,除非它已打开智能卡,但这是一个更复杂(阅读成本高)的故事。
VPN 为您正在访问的数据提供加密,以便您和他们之间的人无法嗅探敏感数据。它还要求您连接到大公司的内部网络,这比任何人都可以访问的互联网访问页面更安全。让您下载证书也意味着为了访问他们的网络,必须有人在您的一台计算机上。在他们获得访问权限之前,不能只是一些随机用户尝试针对 Web 界面的登录名和密码。
我不在浏览器中使用 vpn,但即使在桌面 vpn 客户端上我也会遇到您的问题。这就是我在 Windows 上能够连接到本地网络中的机器的原因
如果您检查
ipconfig /all它应该显示您的本地网络 IP 以及 VPN 分配的 IP。假设您的本地 IP 是 10.0.0.5,并且您想连接到本地网络上的 10.0.0.3。您添加到 10.0.0.3 的路由,如下所示:
这一直对我有用,在多个不同的 VPN 上。IIRC Cisco VPN 客户端还可以选择绕过 vpn 进行本地访问。
显然,这是许多 VPN 类型的默认行为,无论是否基于 Cisco SSL。当无法更改客户端上的默认网关时,我遇到了 VPN 客户端的情况,因此看起来这种行为可以在服务器端进行更改。您应该向“大型”公司的 VPN 管理员询问本地局域网访问权限(如果这是您需要的)。
限制对 VPN 隧道中未定义的任何目的地的访问称为拆分隧道,这样做是为了防止远程计算机充当恶意软件从 Internet 进入专用网络的管道。