bitdreher
Goto Top

Portablen VPN-Client

Hallo zusammen,

ich bin auf der Suche, falls es so etwas geben sollte, nach einem portablen VPN-Client.
Ich bin auch offen für andere Vorschläge für mein folgendes Szenario.

Wir haben eine Firewall der Fa. ZyXEL bei uns im Einsatz:
ZyWALL USG 50.

Auf den Dienst-Notebooks wird eine IPSec VPN-Verbindung mittels Shrew VPN-Client hergestellt.

Jetzt kommt es aber auch mal vor, dass man sein Notebook nicht dabei hat und vor Ort beim Kunden auf Kunden Dokumentationen zurückgreifen muss.

Ideal wäre also, ein VPN-Client welcher z.B. über einen USB-Stick gestartet werden kann, umso eine VPN-Verbindung ins Büro aufzubauen, sodass man sich per RDP auf dem Terminalserver einwählen kann.

Ich möchte nicht auf den PCs vor Ort etwas installieren / einrichten müssen und dieses später wieder entfernen.

Quasi, USB-Stick mit der Software sowie Verbindung fertig eingerichtet in den Rechner stecken und mittels XAUTH verbinden.

Grüße

Content-Key: 220430

Url: https://administrator.de/contentid/220430

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: goscho
goscho 25.10.2013 um 13:40:36 Uhr
Goto Top
Hi,
bei IPSEC-VPN wirst du nicht umhin können, einen Dienst zu installieren. Der hängt sich nämlich als Netzwerkdienst in das System.

Das was du vorhast, empfinde ich als wenig sinnvoll.

Mein Vorschlag (so mache ich das auch):

Nimm immer ein eigenes Gerät (Notebook/Tablet) mit zum Kunden und verbinde dich von diesem per VPN mit deinem Netz. Ob du das via UMTS/LTE machst oder das WLAN/LAN des Kunden dafür nutzen kannst/darfst, ist egal.

Es gibt aber noch weitere Möglichkeiten:

1. SSL-VPN (kenne aber deine Zywall nicht), damit kannst du dich mittels Browser und SSL in dein Netz einwählen
2. Eigener Exchange/Sharepoint, der via HTTPS zu erreichen ist
Mitglied: Dani
Dani 25.10.2013 um 17:06:08 Uhr
Goto Top
Moin,
SSL-VPN (kenne aber deine Zywall nicht), damit kannst du dich mittels Browser und SSL in dein Netz einwählen
Sehe ich genauso... bei diesem Modell sind 5-10 schon dabei bzw. möglich.


Grüße,
Dani
Mitglied: Bitdreher
Bitdreher 25.10.2013 um 22:22:05 Uhr
Goto Top
Und wie steht die SSL-VPN Verbindung dem IPSec in punkto Sicherheit gegenüber?
Mitglied: Dani
Dani 25.10.2013 um 23:04:10 Uhr
Goto Top
Moin,
les dir am Besten folgenden Blogdurch. Die Frage lässt sich nicht verallgemeinern.


Grüße,
Dani
Mitglied: Bitdreher
Bitdreher 26.10.2013 um 22:31:52 Uhr
Goto Top
Hallo Dani,

danke für den Link.
Mitglied: Bitdreher
Bitdreher 01.11.2013 um 17:34:03 Uhr
Goto Top
Hallo,

folgende Frage ist noch bei mir aufgekommen.

Damit ich SSL-VPN nutzen kann, muss ja meine ZyWAL aus dem Internet erreichbar sein.
Denn auf der Seite, wo ich mich auch für die Konfiguration anmelde gibt es die Schaltfläche SSL-VPN.

Ich kann jetzt natürlich den Port ändern, sodass es nicht mehr Standard 443 ist sondern 4433, allerdings empfinde ich dies nicht als ausreichend sicher.

Denn sollte jemand auf den Port kommen, so wäre dieser direkt auf dem Webinterface und könnte natürlich versuchen dieses zu knacken.

Was meint Ihr?
Mitglied: Dani
Dani 01.11.2013 um 17:40:40 Uhr
Goto Top
Moin,
Damit ich SSL-VPN nutzen kann, muss ja meine ZyWAL aus dem Internet erreichbar sein.
Wenn du den VPN Client nutzt, trifft das ebenfalls zu.

Ich kann jetzt natürlich den Port ändern, sodass es nicht mehr Standard 443 ist sondern 4433, allerdings empfinde ich dies nicht als ausreichend sicher.
Das hilft evtl. gegen Portscanner, mehr auch nicht. Wenn's sicher sein soll, schau dir OTP-Lösungen an.


Grüße,
Dani
Mitglied: Bitdreher
Bitdreher 01.11.2013 um 17:53:45 Uhr
Goto Top
Moin Dani,

ich meine was mich wundert ist, wenn ich z.B. unterwegs bin und will mich per VPN verbinden.

Rufe ich meinen Browser auf und gehe zu vpn.firma.de

Dann öffnet sich das Webinterface meiner Firewall und ich kann mich mit meinem Benutzernamen und Kennwort und mit einem Klick auf SSL-VPN per VPN verbinden.

Was mich daran stört, ist dass mein Firewall Webinterface einfach so immer Internet ist.
Dabei frage ich mich, kann ich das anders konfigurieren, oder ist das so gewollt.
Mitglied: Dani
Dani 02.11.2013 aktualisiert um 13:19:51 Uhr
Goto Top
Moin,
ich verstehe dein Problem nicht...

Was mich daran stört, ist dass mein Firewall Webinterface einfach so immer Internet ist.
Ist dein VPN-Port auch... wie gesagt, es gibt genug Varianten um den Zugang sicherer zu machen. Bei uns können die Firewalladmins nur von bestimmten internen Rechnern sich anmelden. Vom Internet aus schon gar nicht. Alle Außendienstler, Homeworker, etc... melden sich mit Benutzernamen + One Time Passwort + PIN an.

Wir haben hier regelmäßig gewisse Versuche im Protokoll stehen, was uns nicht weiter stört. Nach drei fehlhaften Versuchen wird die Quell-IP-Adresse 10 Minuten geblockt. Nach wiederholten drei Versuchen 60 Minuten und falls jemand immer noch nicht genug hat und es nochmal 3x versucht wird die IP-Adresse 24 Stunden geblockt. Dazu kommt ein Geo-IP-Filter, der beim Aufruf der Seite schon filtert und diverse Länder haben wir grundsätzlich geblockt.

Um so größer ein Unternehmen um so interessanter werden solche Zugänge.

Grüße,
Dani
Mitglied: Bitdreher
Bitdreher 03.11.2013 um 10:24:33 Uhr
Goto Top
Moin,

damit hast Du meine Frage beantwortet.

Der Punkt mit es dürfen nur bestimmte Rechner sich als admin einloggen, ist dass was ich gesucht habe.
War mir so nicht ganz klar.

Bei dem Webinterface mache ich mir halt sorgen zwecks Brute-Force.
Der Port ist zwar geändert, aber dieser kann ja trotzdem herausgefunden werden.

Ich konnte bei meiner ZyWALL USG 50 noch nichts finden, ob der Login nach X Versuchen gesperrt wird.
Hast du ggf. sogar Erfahrungen mit ZyWALLs wo ich diese Einstellung finden könnte?

Ich werde parallel nochmal das Handbuch durchgehen.
Mitglied: Dani
Dani 03.11.2013 um 12:10:05 Uhr
Goto Top
Bei dem Webinterface mache ich mir halt sorgen zwecks Brute-Force. Der Port ist zwar geändert, aber dieser kann ja trotzdem herausgefunden werden.
Wie gesagt, OTP + PIN nutzen und es passiert zu 99,9% nichts.

Hast du ggf. sogar Erfahrungen mit ZyWALLs wo ich diese Einstellung finden könnte?
Nein, entspricht nicht unseren Anforderungen. face-smile


Grüße,
Dani