Hallo,
ein Notebook soll per VPN-Client eine sichere Verbindung in die Firma aufbauen. Auf dem Notebook ist ein Virenscanner installiert und die XP Firewall ist aktiv. Nun ist es normalerweise so, dass man im ersten Schritt die Internverbindung herstellt (z.B. WLAN) und anschließend den VPN-Client startet. Das Notebook soll aus Sicherheitsgründen keine direkte Internetverbindung haben, sondern, wenn notwendig, soll der User durch die VPN-Verbindung über den firmeninternen Proxy surfen.
Wie überbrücke ich die Zeit zwischen der Internetverbindung und dem Start des VPN-Clients? Eine Idee wäre eine Personal-Firewall, die nur den Zugriff auf die öffentliche IP des VPN-Gateways und private IP-Adressen erlaubt. Gibt es andere Möglichkeiten? Mich würde es interessieren, wie das andere handhaben.
Bin für jeden Tip sehr dankbar!
Gruß, Maho
Hi,
ein Notebook soll per VPN-Client eine sichere Verbindung in
die Firma aufbauen.
Wie überbrücke ich die Zeit zwischen der Internetverbindung
und dem Start des VPN-Clients?
man _kann_ das so machen, dass man für diersen Zugang dem betr. Mitarbeiter eine eigene Hardware zur Verfügung stellt, die dann auch für die VPN-Verbindung zuständig ist und die sonst gar nichts tut.
Ansonsten wird’s schon was komplizierter und mit Standard-Hardware, Standard-Firmware und wLAN (besonders in dieser Kombination) entweder schwierig oder teuer. Wenn Du bspw. einen Access Point/wLAN-Router mit einem offenen Linux einsetzt, kannst Du dort was basteln. Wenn Du auf dem Notebook Linux einsetzt, kannst Du auch was basteln. Unter Windoze allerding fällt mir spontan auch nix tolles ein.
Eine Idee wäre eine
Personal-Firewall, die nur den Zugriff auf die öffentliche IP
des VPN-Gateways und private IP-Adressen erlaubt.
Das ist nicht zuverlässig und nicht als Sicherheitsfeature zu betrachten.
Gruß,
Malte
Hi Maho,
also ich starte erst den VPN-Client, der dann eine Verbindung zum Server aufbaut. Vorher brauche ich keine Internetverbindung.
Was ist Dir hier zu unsicher?
Welche Client Software verwendest Du?
Gruss Sebastian
also ich starte erst den VPN-Client, der dann eine Verbindung
zum Server aufbaut. Vorher brauche ich keine
Internetverbindung.
Was ist Dir hier zu unsicher?
Welche Client Software verwendest Du?
Das wird - genau wie mahos Vorhaben - spätestens dann scheitern, wenn der Anwender im Flughafenterminal steht und zunächst einmal eine WLan-Verbindung zu irgendeinem Accesspoint aufbauen muss.
Die Frage ist: Kann ich (als Admin) unter beliebigen Umständen den Aufbau einer Internetverbindung (durch den Anwender) so erzwingen, dass Daten ausschliesslich zwischen vertrauten Netzen fliessen? Die Antwort: Nein.
Gruss
Schorsch
Hi Schorsch,
hast natürlich Recht. Letztlich sehe ich aber, ordentliche Konfiguration vorausgesetzt, keine dramatischen sicherheitsrelevanten Probleme wenn das Notebook den VPN-Tunnel aufbaut.
Andere gehen über UMTS ins Firmennetz.
Gruss Sebastian
hast natürlich Recht. Letztlich sehe ich aber, ordentliche
Konfiguration vorausgesetzt, keine dramatischen
sicherheitsrelevanten Probleme wenn das Notebook den
VPN-Tunnel aufbaut.
Andere gehen über UMTS ins Firmennetz.
Technisch sehe ich diese Probleme auch nicht. Aber ich habe es mit Anwendern zu tun, die sich für meine ordentliche Konfiguration allenfalls dann erwärmen könnten, hätten sie meine vorherigen zweistündigen Sicherheitsunterweisungen auch nur zu einem Bruchteil verstanden. Ich habe Maho so verstanden, dass er inhärente Sicherheit zu erreichen versucht. Einen Schutz des Anwenders (dummerweise auch noch GF, den darf man schon gar nicht gängeln) vor sich selbst.
Ausser diversen unausgegorenen Ideen, die Malte zurecht bereits als nicht als Sicherheitsfeature zu betrachten abqualifiziert hat, fällt mir da nix ein. Vielleicht eine ganz vage Vorstellung einer virtuellen Maschine, die für die Aushandlung einer Netzwerkverbindung bis zu einem definierten Endknoten ausschliesslich verantwortlich ist und dann erst die Kontrolle an die Benutzermaschine abgibt.
Gruss
Schorsch
leicht OT
Hi,
Einen Schutz des Anwenders (dummerweise auch noch
GF, den darf man schon gar nicht gängeln) vor sich selbst.
Oh ja, weil meine GF für den meisten Käse verantwortlich sind.
Cheffe saugt sich jeden unnützen Mist aus dem Netz, installierts auch noch, Kiste semmelt ab oder macht nur noch Probleme.
Dann darf ich ran. Meist endet es nach 5 Minuten mit dem Satz: „Besorg mir mal einen neuen Rechner, der alte Kram hier taugt nichts“ 
Und das die meisten Aufrufe auf Chat, Partnerbörse etc. von den IPs der Cheffes kommen und eine Woche später der Spamfilter überquillt, na ja. Da wird doch tatsächlich öffentlich mit der Firmen e-mail Adresse gechattet oder sich in jeden Drecks-Newsletter eingetragen.
Super wars heute morgen:
Namyslik muss zum Chef weil der seine e-mails nicht nach England durchbekommt. „Was ist das hier für eine Sch… Konfiguration, mach was“
Mein Einwand das auf unserer Seite alles ok wäre zählt nicht.
Bis ich auf die Auto-Reply der Inselbrüder gestossen bin:
„The size of this mailbox has exceeded the mailbox limit“
stand da recht deutlich.
Irgendwie war wohl kein Platz mehr für die rund 18MB grosse mail.
Aber klar, unsere Config ist Mist
Gruss Sebastian