Домашняя сеть, VPN и безопасность

Question

На данный момент моя домашняя сеть состоит из 5 компьютеров (3 ноутбука и 2 настольных компьютера), один из которых работает под управлением Windows Server 2008 и служит домашним хранилищем для некоторых наших файлов. Мы подключаемся к Интернету через маршрутизатор Thomson TG784, который получает два беспроводных соединения и три проводных, одно из которых проходит через коммутатор. Тем не менее, мы нигде не используем брандмауэр и, таким образом, полностью полагаемся на возможности брандмауэра маршрута. До сих пор у нас никогда не было проблем, но сейчас я хотел бы настроить VPN (возможно, с использованием RRAS или OpenVPN), чтобы я мог получить доступ к компьютерам здесь извне. Проблема в том, что я действительно не уверен, стоит ли мне это делать, поскольку это означает переадресацию хотя бы одного порта на один компьютер (который будет Windows Server 2008), открывая, таким образом, насколько я понимаю, всю сеть снаружи. , Итак, у меня действительно три вопроса:

1) Являются ли текущие настройки адекватными с точки зрения безопасности, или мы должны использовать брандмауэр на каждом компьютере (даже без VPN или переадресации портов)?

2) Будет ли безопасно устанавливать VPN в такой сети, или я рискую получить нежелательный доступ к сети?

2) Если я действительно решу настроить VPN, как мне следует настроить его и машины в сети для безопасности?

Answer 1

Чтобы ответить на ваши вопросы:

1. Текущая настройка адекватна. Ваш маршрутизатор может выступать в роли приличного, хотя и не полнофункционального, брандмауэра (ясно, что профессиональный брандмауэр лучше, и будет предлагать гораздо больше опций и глубокую проверку пакетов). Если вы действительно хотите повысить безопасность, вы, безусловно, можете включить программные брандмауэры, однако, открыв порт 3389 для вашего брандмауэра, перенаправленный только на ваш сервер, они все равно не смогут получить доступ к другим компьютерам, если только они каким-то образом угадать ваше имя пользователя и пароль VPN.
2. Любые открытые порты или доступ извне - это риск. Черт, быть подключенным к Интернету - риск. Тем не менее, вы должны взвесить риски для выгоды, и только вы действительно можете сделать это. Я бы сказал, что риск низок, и что я делал это точно в течение многих лет для бизнеса.
3. Настроить особо нечего, если только вы не хотите добавить сервер сертификатов и выдать сертификаты ноутбуков, чтобы только они могли получить доступ к VPN. Имейте в виду, что это защитит вас намного больше, но это намного сложнее в настройке, и это будет отдельный вопрос, вероятно, о сбое сервера. Как только вы настроили VPN и они подключились к сети, вы как будто фактически подключили свой компьютер к коммутатору. Вы можете получить доступ к дискам на сервере или, если у вас удаленный доступ к ноутбуку, и к настольной системе, работающей под управлением Pro-версии Windows, вы можете использовать ноутбук для RDP на рабочем столе. В этом сценарии вы выполняете всю работу в локальной сети, поэтому задержка при работе с большими файлами очень мала, только экранные краски и щелчки мыши / клавиатуры с помощью RDP.

И последнее, что у вашего ноутбука могут возникнуть проблемы с производительностью: у вас есть сопоставления дисков с сервером, а сервера там нет (не подключен локально или через VPN). Возможно, вы захотите использовать сценарии для отображения и отмены отображения дисков по мере необходимости.

Answer 2

Используйте Hamachi. Вы можете легко создавать VPN-туннели, и вам никогда не потребуется открывать порт на маршрутизаторе. Я использую его, так как путешествую со своим ноутбуком, но мне нужен доступ к файлам на моих серверах, или мне может потребоваться обновить настройки / виртуальные машины в моем частном облаке.