Hi…
In unserem Unternehmen ist ein RAS-Zugang über DSL geplant.
Hierbei haben sich einige Fragen bezüglich Hardware (auf der
Client-Seite) und der IT-Sicherheit gestellt.
Was Du Dir da vermutlich vorstellst, ist eine direkte DSL-Verbindung vom User zur Firma. Das ist im Normalfall technisch nicht machbar (Deine Firma ist nicht die Telekom, nehme ich an).
Es ist gewünscht (gefordert), daß sich ein RAS-User während
der Verbindung definitiv nur im Firmen-Netzwerk aufhält, und
nicht parallel im „gemeinem“ WWW.
Lässt sich nicht vermeiden, da eine DSL-Verbindung zur Firma nur über das „gemeine“ Internet möglich ist. Die Kommunikation auf diesem Kanal lässt sich zwar absichern, aber um ihn zu öffnen, muß der User eine Verbindung zum Internet aufbauen, die er dann auch nebenher zu anderen Zwecken nutzen könnte. Ob sich sowas durch entsprechende Rechtevergabe auf dem Clientrechner unterbinden lässt, weiß ich leider nicht.
Als Betriebssystem sollte Windows XP genommen werden, da dort
bereits eine Firewall integriert ist. Allerdings stellt sich
die Frage, ob diese ausreicht?
Diese Firewall ist genauso gut oder schlecht wie alle anderen Personal Firewalls. Sie „verhindert“ hauptsächlich solche Angriffe, die auch ohne PFW erfolglos gewesen wären. Als Beispiel, in dem eine PFW tatsächlich schützen kann, fällt mir momentan nur W32.Blaster ein. Der hauptsächliche Nutzen einer PFW ist die Kotrolle darüber, welche Programme auf das Internet zugreifen dürfen - ähem. Da fällt mir doch gerade etwas ein: Wenn man zwei Benutzer einrichtet, für die unterschiedliche Firewall-Regeln gelten, kann man dem einen verbieten, mit irgendetwas anderem als der VPN-Software aufs Internet zuzugreifen, während der andere alle darf, aber eben kein VPN. Leider kenne ich keine PFW, bei der man benutzerspezifische Regeln definieren kann, also wäre ein weiterer Umweg notwendig:
Benutzer 1 darf das VPN-Programm verwenden. Er darf keine evtl. vorhandenen Internet-Programme verwenden und keinerlei Software installieren.
Benutzer 2 darf das VPN-Programm nicht verwenden, dafür alles andere. Wenn er Software installieren kann, dann nur so, daß Benutzer 1 nicht darauf zugreifen kann. Natürlich darf auch keiner der beiden sich selbst oder dem anderen mehr Rechte verschaffen können.
Wenn die Rechteverwaltung von XP (die ich nicht so besonders gut kenne) eine solche Konfiguration hergibt, scheint mir das eine brauchbare Lösung. Wenn es sich um reine Arbeitsrechner handelt, auf denen überhaupt nicht gesurft werden darf, geht es natürlich einfacher: Alle Internetprogramme löschen oder sperren, Installation von Software verbieten, fertig.
Wie gesagt, es geht hier um einen gesicherten Zugang in ein
Firmennetzwerk, der so sicher wie möglich sein soll.
So sicher wie möglich heißt: Verzichte auf den Geschwindigkeitsvorteil von DSL und bleibe bei ISDN-Wählleitungen. Wenn ernsthafte Paranoia besteht, Authentifizierung über Passwort _und_ Rufnummeridentifikation, zusätzliche Verschlüsselung, äußerst restriktive Rechtevergabe auf den Rechnern.
genumi
