Wenn wir zu Kunden VPN Verbindungen (FTP - ja schon wieder und
immernoch und auch nächsts Jahr noch hehe… ) aufbauen, dann
laufen die an unserer HW-Firewall vorbei. Das hätte aber auch
zur Folge, dass es für jemanden dadurch leichter ist, über
eine solche getunnelte Verbindung die Server anzugreifen…
Nicht nur das, viel schöner ist, dass du aus allen Rohren zurückschiessen kannst! Ein VPN stellt nämlich eine beidseitig vertrauende Infrastruktur her. Wer eine VPN-Verbindung in ein fremdes Netz aufmacht, sollte sich also vorher genau überlegen, was er da tut. Gleiches gilt natürlich für den, der im fremden Netz den Dienst bereitstellt.
Eine VPN-Verbindung sollte daher immer gegen eine Firewall laufen, die genauer beschreibt, wer was darf. Das kann, je nach Konfiguration, auch eure Appliance (HW-FW) sein. Da der VPN-Endknoten aber typischerweise in der DMZ liegt, muss dieser eigens abgesichert sein und Anfragen aus dem VPN dürfen ausschliesslich an die FW gehen, da sonst jeder, der eine VPN-Verbindung öffnet, freien Durchgriff in die gesamte DMZ hat.
Der Endknoten sollte in der Lage sein, die versch. VPN-Zugriffsberechtigten zu unterscheiden, ihnen unterschiedliche Profile zuzuweisen, so dass auf der Firewall entspr. der Profile Berechtigungen vergeben werden können. Kunde a und c dürfen ftp auf ServerXY, Kunde b darf mit ssl auf TerminalServerYZ, ZH-Peter darf RemoteShell auf alle Server…
Auch so etwas gibt es für teuer Geld als Appliance, z. B. auf Basis des MS-ISA-Servers[*1] oder wesentlich billiger und ohne jegliche Einschränkung für dein Windows-Backbone unter Debian Woody mit der Shorewall und OpenVPN (meine bevorzugte Lösung, weil schlank und elegant, nicht so’n fetter Bürokrat wie die diversen IPSec-Lösungen.)[*2]
Gruss
Schorsch
[*1] z. B. http://www.pyramid.de
http://www.wortmann.de
[*2] http://www.debian.org/
http://www.shorewall.de/
http://openvpn.sourceforge.net/
