TwitterLinkedInEmail
formats

Hardering VPN SonicWall (Globalvpn)

Si buscamos manuales de como configurar GlobalVPN (El cliente de sonicwall) en muchas ocaciones nos encontraresmos que  configuramos el cliente dando acceso a LANSubnet. ¿Pero es lo adecuado? ¿Que significa eso?

Configurando los cliente de global con acceso a LANSubnet estamos dando acceso a todas las partes que tenemos configurdas en SonicWall y a todas las maquinas de esas redes. ¿No estoy exponiendo demasiado la red y si entra un encrypted?

¿No seria mas adecuado dar acceso solo al servicio/servidro/red concreta?

Casuistica:

Un usuario que solo tienen que trabajar con el servidor de ficheros ¿Porque voy a exponer el resto de la red?

Este trabajo lo podemos realizar con usuarios locales o Grupos donde añadir usuarios o mediante la importacion de usuarios o grupos de LDAP.

En mi opinion  es importante trabajar con grupos y usuarios de LDAP organizados en el DC para asi aplicarles restricciones de politicas GPO de contraseñas y por automatizar la eliminacion de usuarios en sus respectivas bajas del DC.

Practico!

Laboratorio

1 servidor DC (vm-dc 10.10.10.112) un Exchange (vm-ml 10.10.10.100) un File (spfiled 10.10.10.20)

Un usuario llamado Carmen Martinez (cmartinez) de directorio activo, esta en el grupo GS_VPN con acceso LANS subnets

en su momento se importo en sonicwall y se le dieron los permisos de LANsubnets

 

Realizamos ping a las maquinas

 

Unicamente queremos que se pueda conectar al servidor de File   10.10.10.20

En sonicwall Firewall-Address Object creamos un nuevo Address Object del tipo LAN HOST y introducimos la IP del servidor donde accederemos.

Si tenemos prevision de que sea mas de un servidor podriamos crearlos y metrelos todos en un Address Group.

En mi caso he creado en Active Directory un Grupo llamado GS_VPN_File añadido a carmen y sacado del anterior grupo (gs_vpn) y lo importado con Import Frim LDAP de Users Local Groups

y editado para que solo acceda al address object del server de ficheros

 

Resultado del Ping

 

si se tratara de una conexion de terminal server desde el terminal server tendria acceso a la red pero si creo que es un refuerzo importante acotar lo maximo posible la red

 

 

OJORRR !!! tener en cuenta que si el usuario no tiene acceso al DNS no se le solucionan los nombres conque o dais acceso o mapeais por IP!!!!

 

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

15 − 2 =

CyberChimps