VPN vs sFTP

[croot]

Ciao,
devo far accedere un utente ad alcune risorse windows all'interno della mia rete. Ovviamente la soluzione più elegante sarebbe la vpn.
Però ho provato una soluzione che mi sembra più semplice e per certi versi mi permette di avere maggiore controllo sugli accessi e sui movimenti dell'utente.
In pratica sarebbe quella di implementare un sFTP con montate via samba le risorse windows. Il server windows presto diventerà Linux (anche se ancora devo decidere se mettere gentoo o debian) però per ora rimane quello che è. La persona che "amministra" windows non ha la minima idea se esistono log di accesso alle risorse quindi usando l'ftp potrei avere qualche traccia sul traffico effettuato. In più potrei creare differenti utenti con differenti risorse montate a seconda dell'utente e vari altri giochetti sui permessi usando samba. Senza contare che una soluzione del genere da implementare è un giochetto.. mentre una vpn non è altrettanto semplice.
I lati negativi sarebbero che dovrei aprire il firewall in uscita dall'ftp con porte sopra > 1024 in quanto iptables ovviamente non puo interpretare traffico criptato.
Che cosa ne pensate di questa soluzione ? è una porcata ?
Eventualmente una soluzione vpn che vantaggi mi offrirebbe ?
E dal punto di vista della sicurezza la soluzione ftp come vi sembra ?
Un'altra cosa che mi preoccupa in tutte e due le soluzioni non è la sicurezza dei dati che transitano.. ma la sicurezza del client esterno, se la macchina esterna fosse compromessa potrebbe diventare un bel problema.

[!equilibrium]

se devi limitare l'accesso all'utente a solo una parte della tua rete, allora la VPN non è il massimo della sicurezza perchè l'utente vedrebbe per intero la tua rete e non solo... a mio parere (IMHO) sFTP fa maggiormente al tuo caso... ovviamente sono considerazioni fatte solo sulla base delle tue poche informazioni, nel dettaglio magari la situazione si presenta diversamente.
_________________
Arch Tester for Gentoo/FreeBSD
Equilibrium's Universe

all my contents are released under the Creative Commons Licence by-nc-nd 2.5

[federico]

Dunque io le ho provate un po' tutte e forse a te potrebbe piacere una soluzione come quella che uso a casa mia, ovvero un file server che monta via sama dai client della rete connessi (fa un controllo ogni 5 minuti) le directory che possono essere condivise o meno, e poi fa un mount --bind delle dir alle quali ogni determinato puo' accedere direttamente nella sua home. Sul file server inoltre gira proftpd con criptazione dat/trasferimento SSL, un utente remoto scarica in un flusso criptato i file che gli sono concessi scaricare e che si trovano sparsi tra 4 computer qui.
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

[croot]

@darkangel76, se ti servono altre info basta chiedere.. ma mi pare tutto, c'è una lan con firewall linux, dentro la lan c'è un server windows con varie risorse condivise, vari client windows e qualche server linux, mi pare tutto.

@federico, scusa ma che differenza c'è con la soluzione che ho esposto, mi sembrano uguali, o no ?

[!equilibrium]

[federico]

Siccome non avevo capito esattamente la miscela di windows e samba del tuo post e mi pareva di intuire che volevi fare una cosa come quella che uso io e allora te l'ho descritta.
La soluzione VPN non e' molto difficile da fare e altrettanto fattibile ma devi sbatterti un po' per aggiungere sicurezza alla cosa visto che daresti accesso su tutte le porte e non solo su quella ftp. Tuttavia con una vpn potresti vpnnizzare sambda direttamente, stilisticamente e' molto + bello.
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

[croot]

ok tutto chiaro e limpido, muchas gracias