Ligar a uma VPN e remote desktop em empresa...segurança???

M

madafakapc

Power Member
Olá ppl!

Quero ajuda para configurar a segurança da minha rede melhor para fazer face ao seguinte:


Tenho uma rede em casa com 3 PCS que ligam ao switch que liga num router ao qual liga actualmente um cablemodem.... (futuramente vai ser um router com adsl...ainda nao...)

e preciso de ligar um Portatil à rede para aceder à net aki de casa...

Mas.... o Portatil é pra trabalhar na rede do trabalho.....ie....tenho de aceder de casa a uma VPN da empresa....

Por um lado acedo em remote desktop a PCs da rede da empresa.....e por outro estou integrado na VPN da empresa (na rede da empresa...com um IP de lá da empresa...)

Portanto podem ocorrer aki 2 situações, ora como remote desktop ora como pertencente à rede da empresa em VPN (espero estar a ser correcto e explicito...)

O que pretendo saber é:

Quero que o portatil exclusivamente aceda à rede de casa para aceder à net para se poder ligar à empresa e depois ainda tem de usar a minha impressora aki de casa que é partilhada na rede porque está ligada num dos PCS....

Moral da historia, como posso garantir que ninguem da empresa me acede à rede de casa.....e que nao hajam falhas de segurança por aki...visto que vou ter de abrir no router ports para o Portatil poder conectar-se À VPN da empresa e depois ainda tenho de acrescentar supostamente um IP para este portatil ter acesso à minha rede....ie....

Devo meter outro router....um print server....aceito sugetsoes....

OBRIGADO!:x2: :x2: :x2:


PS - gostava de monitorizar tudo o que se passa entre na minha rede.....keke sugerem...alem de ter de controloar o trafego.....os virus...os trojanos...hehehe
 
acho que a unica maneira de conseguires evitar o acesso ao teu router é so concederes o acesso ao mesmo atraves de MAC Adress's pre definidos por ti. Sei que com o meu router Wireless foi o que fiz, pois no condominio existe mais pessoal com wireless
 
Ao efectuares a VPN vais ter um IP dado pela empresa, na rede interna outro (o que usas para aceder à internet, impressora, etc), são redes distintas, logo o acesso da empresa à tua rede interna não é possível (só se tiveres no portátil algum programa a fazer o roteamento o que à partida não acontece).
 
Que tipo de software seria esse capaz de fazer o roteamento???

Eu pergunto isto pq sei que nao há redes 100% seguras e como tal...gostava sempre de entender mais um pouco.....justificará arranjar outro router para meter pelo meio ou assim como tenho será suficiente....ao fim ao cabo o meu router tá com a porta aberta para poder aceder à tal VPN na empresa...
 
Boas, já não uso programas para esse fim, à anos (já não me recordo do nome, mas como todos sabemos o google é nosso amigo, é só procurar), pois também é possível o mesmo resultado com uma modificação do registo da maquina para activar o routeamento, e a adição de algumas entradas nas tabelas de roteamento das maquinas envolvidas.

Tens a porta a ser reencaminhada para o IP do Portátil?, é tudo o que precisas.
 
A unca medida extra que poderias tomar no teu caso era fazer "router cascade".

Ficavas com

empresa
|
internet
|
router1
|----------|
Portátil ...router2
................|
...............LAN

O problema é que este esquema garante, efectivamente, que a tual LAN está segura, mas isso acontece pq o portátil deixa de estar nela, o que não é o que tu queres.

Tendo o portátil na LAN e simultaneamente via VPN na LAN da empresa, a box pertence efectivamente aos 2. A questão de segurança só se põe no ponto em que se a box for comprometida, compromete automaticamente as duas redes.

Se realmente estás preocupado com isso, mete um Windows nLited no portátil, variedade totalmente capada, um antivirus decente (e não, dados já não são seguros, jpeg/tiff/WMF/ASF/Office/OpenOffice, todos foram "exploitados" já, e a moda parece estar a pegar...) e mete uma firewall decente no bixo.

Uma vez mais, tal como na SIDA, não tens grupos de risco, tens comportamentos de risco. Tens de proteger o que puderes e evitar outros tantos, senão quem compromete a tua segurança és tú próprio.
 
Btw, não te preocupes muito com o routing (roteamento...). Isso é algo que tem de ser activado de modo explicito (se bem que em Windows o explicito é obscuro...).

De qqr modo, para um atacante, dá menos trabalho ganhar controlo da tua box (se não tiveres protecção claro...) e continuar a partir dela para a frente (para a tua LAN) que rezar para que ela esteja a fazer routing.
 
acho que a unica maneira de conseguires evitar o acesso ao teu router é so concederes o acesso ao mesmo atraves de MAC Adress's pre definidos por ti. Sei que com o meu router Wireless foi o que fiz, pois no condominio existe mais pessoal com wireless
Clicar para expandir...

É so para dizer que mac filter é quase a mesma coisa que nao ter nada...
Com um simples sniffer consegues ver os macs dos clientes da rede e facilmente ( pelo menos em linux) "mudar" o teu mac para um igual aos dos utilizadores...
 
ShadeX disse:
A unca medida extra que poderias tomar no teu caso era fazer "router cascade".

Ficavas com

empresa
|
internet
|
router1
|----------|
Portátil ...router2
................|
...............LAN

O problema é que este esquema garante, efectivamente, que a tual LAN está segura, mas isso acontece pq o portátil deixa de estar nela, o que não é o que tu queres.

Tendo o portátil na LAN e simultaneamente via VPN na LAN da empresa, a box pertence efectivamente aos 2. A questão de segurança só se põe no ponto em que se a box for comprometida, compromete automaticamente as duas redes.

Se realmente estás preocupado com isso, mete um Windows nLited no portátil, variedade totalmente capada, um antivirus decente (e não, dados já não são seguros, jpeg/tiff/WMF/ASF/Office/OpenOffice, todos foram "exploitados" já, e a moda parece estar a pegar...) e mete uma firewall decente no bixo.

Uma vez mais, tal como na SIDA, não tens grupos de risco, tens comportamentos de risco. Tens de proteger o que puderes e evitar outros tantos, senão quem compromete a tua segurança és tú próprio.
Clicar para expandir...

Mas quando estou a meter um segundo router nao deixo de poder aceder sempre à minha impressora ou é por causa da net....se for preciso ter um print server será que já me resolveria o problema??

Obrigado pelo esclarecimento!:x2: :x2:
 
Tu basicamente precisas é de garantir a integridade do portátil. Enquanto o portátil, unico exposto á rede da empresa, estiver seguro, a tua LAN tbm está. Se o portátil "cair", cai provavlmente a LAN tbm...

Mas isso é como tudo e como sempre. Uma rede é um conjunto, ou tens segurança no conjunto ou não tens em nada.

Eu, pessoalmente, sempre que me arranjem $$$ para o fazer (ou me deixem meter boxes por todo o lado :) ) tenho:

inet
|
router (hw ou box linux, dependendo)
|
switch
|
------------------(LAN)
|.....******...******..******.....|
PC1.PC2.PC3.PCx.Server

Todos têm fw's com configs inbound muito restritivas, por norma a aceitar apenas e somente port 590x e vindo de uma máquina especifica (PCx). O Server expõe os serviços que corre (mas não ao router ,), só aos PC's), mas isso é incontornável. O acesso remoto é feito via VNC sobre um tunnel SHH sobre outro tunnel SSH. Se por um milagre fizerem takeover ao router (quando é uma box, que externamente só expõem SSH e só aceita ligações com private keys), ainda têm de fazer takeover ao PCx (e encontrá-lo primeiro) pq é o unico a quem as outras boxes ligam cartuxo...

Ms por muito que te esforces, tens sempre buracos a tapar. O importante é fazer o possivél para não comprometer a máquina, normalmente via comportamentos "inseguros". Atm onde estou a escrever isto, vai haver um PC que vai ficar sem media player, pq por muito que eu peça, continuam a abrir "os videos giros" que aparecem no mail. Como não estou para me chatear, la se vai o MP.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo