Krátce řečeno, my oba máme pracovní VPN na našich telefonů, které musí být vždy aktivní, a proto VPN pro naši vlastní síť není možnou cestou (přál bych si, aby existovala nějaká možnost VPN podle režimu zaměření, ale bohužel). Co je tedy další nejbezpečnější volba k vystavení několika hlavních služeb (Immich, Paperless atd.).
Nejbezpečnější je jednoduše nevyužívat žádné vystavení a to určitě uděláme pro většinu našich služeb.
Můžeš nastavit samostatný pracovní a osobní profil na telefonu a povolit firemní VPN pouze na pracovním profilu? Vím, že to je možné na Androidu (https://support.google.com/work/android/answer/6191949?hl=en), a myslím, že je to možné i na iOS. Jinak bych doporučil požádat svého zaměstnavatele o pracovní telefon.
Jdu starou školou.
Port forwarding na reverzní proxy.
Služby zabezpečené autentikem s 2FA
Cewdsec neustále analyzuje logy proxy a aplikací ve hledání útočníků a automaticky zavádí zákazy na úrovni brány firewall i proxy.
Watchtower, který se stará o aktualizaci služeb, pokud je sdělená známá zranitelnost před tím, než mám šanci aktualizovat aplikace.
Také předem blokuji známé špatné země, které nikdy nenavštívím, jako je Rusko, Čína, Írán, Bělorusko.
Tunely, jako Cloudflare tunnel. To používám pro svůj osobní projekt. Není potřeba žádných otevřených portů.
Reverzní proxy s autentizací je další možnost, ale v teorii o něco méně bezpečná než mTLS.
Například můžeš nastavit Caddy, který bude jedinou službou vystavenou na webu (port 443) a použít ho jako proxy HTTP provozu do tvých interních služeb. Autentizaci lze řešit pomocí Authelia, caddy-security nebo jiných řešení.
Jsou to tvoje osobní telefony? Pokud ano, nedoporučuji mít na nich stále aktivní pracovní VPN nebo jakýkoli pracovní software/management, prostě to není dobrý nápad.
Pokud chceš zpřístupnit služby online, možná můžeš omezit přístup na konkrétní IP adresy, pokud víš, jaké výstupní body používá tvá práce (za předpokladu, že nejsou dynamické).
toto není dostatek informací.
Co mají telefony společného se vystavováním služeb?
Kam, odkud?
Co běží a kde? (kde běží Paperless?)
Viz podobnou otázku, s mojí odpovědí na tomto subredditu:
https://www.reddit.com/r/selfhosted/s/4vZzXKxwUY
(Nepoužívám vlastní hosting, ale…) co takhle Cloudflare Tunnel? Nakonfiguruj soukromé doménové jméno pro každou službu, spusť cloudflared na VM nebo kontejneru ve své domácí síti a voila… veřejný vzdálený přístup. Pokud jsou tvé služby omezeny jen na tvé použití nebo malou skupinu uživatelů, přidej Cloudflare aplikaci pro další vrstvu autentizace.
(V závislosti na tvém názoru na soukromí Cloudflare.)
Záleží na tom, jaké služby vystavuješ a jak je potřebuješ přistupovat.
Pokud používáš webové prohlížeče nebo aplikace s podporou, mTLS je v podstatě ekvivalentní VPN autentizaci, a pokud vynutíš mTLS jako požadavek na okraji sítě, tvá útočiště je opravdu minimální.
a proto VPN pro naši vlastní síť není možná cesta
Pochybuji, že to opravdu směruje veškerý tvůj provoz přes pracovní tunel, pravděpodobně jen jejich doména a jejich IP rozsah jsou odeslány jejich směrem.
Myslíš, že se s tímhle chtějí vypořádat všichni zaměstnanci otevírající YouTube video? Takže podobně jako ty, když někam půjdeš sledovat YouTube video, budeš odeslán na svůj vlastní server přes jiný tunel, pokud to sazba IP rozsahu…
ale každopádně, pokud není VPN, jsem velkým fanouškem geoblokace. Hostím věci pro lidi a určitě nechci dohlížet na jejich používání a dělat jim skoky přes překážky… takže používám opnsense k geo-blokování celého světa a povolování přístupu do mé domácí sítě pouze IP adresám z mé země.
Můžeš jít touto cestou, pokud máš dovednosti, nebo koupit nový router, který to podporuje, Unifi UCG-Ultra to má a stojí asi 130 dolarů.
Jaký máte operační systém? Pokud se jedná o statické prostředí, objednal bych statickou IP, port forwarding, což umožní provoz serverů přes internet, ale s přísnými pravidly IP tabulky, která umožní přístup pouze ze zelené listy IP adres. Tento způsob používám pro některé své služby a funguje skvěle. Port je otevřený, ale přístupný pouze z jedné stroje, což mi umožňuje plné využití upload rychlosti (4000 up) a není to omezené VPN omezeními, a díky omezení IP adres je moje služby chráněny před hackery a snoopery. Jen je důležité používat IP tables save nebo persistent, jinak se změny při restartu ztratí.
Podívej se na Pomerium. Přímé nastavení reverzní proxy, ale poskytne ti všechny bezpečnostní funkce, které bys pravděpodobně chtěl, když zpřístupňuješ svůj domácí network širokému světu.
Průběh bude:
Tvůj zařízení → Domácí router → Pomerium Proxy (který bude zajišťovat autentizaci a autorizaci) → Tvé služby
Pomerium má také bezplatnou verzi jejich hostovaného řídicího centra, takže vše, co musíš hostit, je proxy.
Poznámka: Jsem architekt v oblasti Pomerium, ale opravdu jsou přesně navrženi pro tento případ použití.
Pravděpodobně reverzní proxy (jako nginx), která bude vše obhospodařovat přes https samozřejmě.
Tailscale, Zero Tier, Cloudflare
TLS klientská autentizace.
Používám Cloudflare Zero Tier
Přidává to bezpečnost a tak dále.
Tato myšlenka je to, co jsem zmínil výše ve svém příspěvku - Rád bych, aby to existovalo, ale nejsem si jistý, jestli to pro iOS existuje.
Pokud jde o pracovní telefon - už jsem to viděl zmíněné dříve. I kdyby mi zaměstnavatel nabídl, hledám možnost, která mě nezavazuje nosit dva telefony.
Mám pracovní účet na svém osobním Androidu a bylo mi řečeno, že to funguje i na iOS. Nejsem si jistý detaily, protože to bylo provedeno skriptem od společnosti.
Ve zkratce - je to možné i na iOS.
Toto je správná odpověď OP. Konfliktující VPN od práce s tvou vlastní VPN může být bolestné. Raději mám mTLS než VPN na vše. VPN jsou populárnější, protože je jednodušší je nastavit.