10
VPN Rechner vom restlichen Netzwerk trennen/Konfigurationsvorschlag
Hallo,
ich habe derzeit ein Netz mit einem Win2000 Server und 15 Rechnern. Eine Internetanbindung ist über eine Checkpoint Safe@Office Box realisiert welche als Hardwarefirewall und VPN-Server fungiert. Der Virenschutz ist über eine Server-/Client-lösung von Trendmicro realisiert.
Nun soll für eine weitere Anwendung ein zweiter Server installiert werden. Lokal wird nur ein Mitarbeiter auf diesem Server ca. 2-3mal monatlich auf diesem Server arbeiten. Hinzu kommen jedoch 3 externe Arbeitsplätze die nicht in meinem Verfügungsbereich (z. B. Virenschutz, Windowsupdates stehen). Ich suche nun eine kostengünstige Lösung den externen Rechnern VPN-Zugriff auf den neuen Server zu gewähren ohne das diese ein Gefahrenpotential (Würmer, unauthorisierter Zugriff etc.) für das vorhandene Netz + Server darstellen.
Da die geplante Anwendung für den neuen Server keine hohen Hardwareanforderungen hat (PIII, 300MHZ), hatte ich gedacht einen Standard-Desktop Rechner mit Bandsicherung dafür zu betreiben. Probleme macht mir derzeit noch die Einbindung der externen Rechner.
1. Wenn sich diese per VPN über den vorhandenen Router einwählen werden Sie ja ein Teil unseres Netzes und würden damit die Hardwarefirewall umgehen, sehe ich das richtig? Die User könnten Zugriff auf die vorhandenen Rechner bekommen, Netzwerkverkehr mitschneiden, Würmer sich ungehindert verbreiten wenn es entsprechende offene Ports an den Desktops gibt?
2. Bleibt mir als einzige Lösung eine 2tes Netz aufzubauen inkl. 2ter Internet-Leitung und Router, oder bekomme ich auch in anderer Form eine saubere Trennung hin?
3. Wäre es schön den Server auch für weitere Anwendungen im internen Netz nutzen zu können.
Ich bitte mal um Konfigurationsvorschläge.
ich habe derzeit ein Netz mit einem Win2000 Server und 15 Rechnern. Eine Internetanbindung ist über eine Checkpoint Safe@Office Box realisiert welche als Hardwarefirewall und VPN-Server fungiert. Der Virenschutz ist über eine Server-/Client-lösung von Trendmicro realisiert.
Nun soll für eine weitere Anwendung ein zweiter Server installiert werden. Lokal wird nur ein Mitarbeiter auf diesem Server ca. 2-3mal monatlich auf diesem Server arbeiten. Hinzu kommen jedoch 3 externe Arbeitsplätze die nicht in meinem Verfügungsbereich (z. B. Virenschutz, Windowsupdates stehen). Ich suche nun eine kostengünstige Lösung den externen Rechnern VPN-Zugriff auf den neuen Server zu gewähren ohne das diese ein Gefahrenpotential (Würmer, unauthorisierter Zugriff etc.) für das vorhandene Netz + Server darstellen.
Da die geplante Anwendung für den neuen Server keine hohen Hardwareanforderungen hat (PIII, 300MHZ), hatte ich gedacht einen Standard-Desktop Rechner mit Bandsicherung dafür zu betreiben. Probleme macht mir derzeit noch die Einbindung der externen Rechner.
1. Wenn sich diese per VPN über den vorhandenen Router einwählen werden Sie ja ein Teil unseres Netzes und würden damit die Hardwarefirewall umgehen, sehe ich das richtig? Die User könnten Zugriff auf die vorhandenen Rechner bekommen, Netzwerkverkehr mitschneiden, Würmer sich ungehindert verbreiten wenn es entsprechende offene Ports an den Desktops gibt?
2. Bleibt mir als einzige Lösung eine 2tes Netz aufzubauen inkl. 2ter Internet-Leitung und Router, oder bekomme ich auch in anderer Form eine saubere Trennung hin?
3. Wäre es schön den Server auch für weitere Anwendungen im internen Netz nutzen zu können.
Ich bitte mal um Konfigurationsvorschläge.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 36434
Url: https://administrator.de/contentid/36434
Printed on: April 19, 2024 at 01:04 o'clock
10 Comments
Latest comment
Prinzipiell hast du recht. Genau das ist ein grundsätzliches Problem von VPN Verbindungen mit Mitarbeiterrechnern -das LAN ist durch "unsichere" Remote Endgeräte gefährdet.
Die zweite Leitung wäre natürlich die sauberste Lösung.
Doch man muss es auch nicht übertreiben - es gibt genug Möglichkeiten, die man auch als sicher einstufen kann.
Denkbare Alternativen:
Die zweite Leitung wäre natürlich die sauberste Lösung.
Doch man muss es auch nicht übertreiben - es gibt genug Möglichkeiten, die man auch als sicher einstufen kann.
Denkbare Alternativen:
- Auf dem neuen Server läuft auch VPN. Die "unsicheren" Clients können VPN Verbindungen (unabhängig vom bereits vorhandenen VPN) explizit nur auf diesen Server machen (entspechendes VPN Ports Forwarding u. Firewall Freischaltung für den neuen Server vorrausgesetzt). Dann hätten die User sicheren Zugriff NUR auf diesen einen Server.
- Wenns billig sein soll, und zum Arbeiten ausreicht könnte man auch über Remote Desktop oder VNC Verbindungen nachdenken, so dass der Zustand der entfernten Rechner egal ist, und sie über Terminaldienste auf dem Firmenserver arbeiten, ohne ihn oder das LAN schädigen zu können.
- Wenns teurer sein soll/darf/muss: Citrix Terminaldienste (Presentationserver) oder auch Juniper Secure Access sind hier sehr schöne Lösungen - das nötige Kleingeld vorausgesetzt.
- Denkbar wäre auch eine Client-spezifische VLAN Configuration. Je nach angemeldetem Benutzer oder MAC Adresse oder Zertifikat auf dem Client (?) ) kommt der zugreifende Remote PC in ein spezielles VLAN, das nur Zugriff auf den neuen Server hat. Auch ne schöne Lösung, doch vielleicht bissi aufwendig. Weiss auch nicht ob dein Netz VLANs unterstützt.
Also die VPN-Lösung finde ich interessant. Den VPN-Port forwarden und den Server als VPN-Server nutzen inkl. einem eigenen Subnetz. Damit dürfte ein Übergriff auf die vorhandenen Rechner schwer möglich sein und wir brauchen keine Kabel verlegen, keine 2te Inet-Anbindung sowie keine zusätzliche HW-Firewall.
Gibts es eine "sichere" Software-VPN-Lösung für Windows? Die eingebaute funktioniert zwar aber soll nicht das sicherste sein.
Gibt es eigentlich reine VPN-Boxen, ähnlich einem Router aber nur zu VPN-Zwecken, die man davor setzen könnte?
Gibts es eine "sichere" Software-VPN-Lösung für Windows? Die eingebaute funktioniert zwar aber soll nicht das sicherste sein.
Gibt es eigentlich reine VPN-Boxen, ähnlich einem Router aber nur zu VPN-Zwecken, die man davor setzen könnte?
Ja, die gibt es, das sind sog. VPN Gateways. Da gibt es zig Anbieter..Checkpoint ist selber einer, Watchguard, Pyramid, und und.....
Das wäre eigentlich die sauberste Lösung. Die Problematik ist aber das deine Checkpoint Box nicht erweiterbar ist. Sonst würde man dort einfach ein weiteres IP Ethernetsegment eröffnen und den Server dort plazieren. Damit hättest du eine saubere Trennung zum bestehenden Netzwerk und könntest über die Firewall noch entsprechende Zugangsfilter in dies Segment definieren und damit natürlich auch den neuen Server aus dem bestehenden Segment nutzen.
Das Szenario sähe dann so aus:
(Internet)---Router---(Firewall)===2 Ethernet Interfaces
Nachteil für dich ist das du dafür Geld in die Hand nehmen musst für eine neue externe Firewall mit VPN Funktion, die du eigentlich ja schon hast....
Es gäbe aber auch noch eine andere Möglichkeit:
Du nimmst einen Layer 3 LAN Switch und definierst dort 3 VLANs drauf. Eins ist dein bestehendes Netz, eins ist für dein neues VPN Segment und eins für den Zugang zum VPN/Router ins Internet:
(Internet)---Router---(Layer 3 Switch mit 3 VLANs
Auf dem Switch hast du nun 3 vollständig getrennte IP Segmente die du untereinander im Switch dann routen kannst. Über Access Listen kannst du sehr granular den Zugang zu den einzelnen Segmenten steuern. Z.B. das ein Zugang aus deinem neuen VPN Segment ins bestehende LAN geblockt ist oder nur für bestimmte Dienste (Zugriff auf den neuen Server).
Dies erfordert zwar auch eine finanzielle Investition ist aber erheblich weniger als z.B. eine neue FW oder VPN Gateway, da L3 fähige Switches derzeit recht preiswert zu haben sind. Weiterer Vorteil: Du kannst deine bestehende Checkpoint weiterbenutzen musst dort nur lediglich 2 Netze im Routing eintragen. Layer 3 Switches gibt es einigermaßen preiswert von einschlägigen Anbietern. Achte aber darauf das du bei dem Switch die Möglichkeit hast Layer 3 ACLs zu definieren. Eigentlich ein Standardfeature aber es gibt taiwanesische Billigsysteme die auf sowas verzichten aus Preisgründen. M.E. die am wenigsten aufwendigste Lösung.
Das wäre eigentlich die sauberste Lösung. Die Problematik ist aber das deine Checkpoint Box nicht erweiterbar ist. Sonst würde man dort einfach ein weiteres IP Ethernetsegment eröffnen und den Server dort plazieren. Damit hättest du eine saubere Trennung zum bestehenden Netzwerk und könntest über die Firewall noch entsprechende Zugangsfilter in dies Segment definieren und damit natürlich auch den neuen Server aus dem bestehenden Segment nutzen.
Das Szenario sähe dann so aus:
(Internet)---Router---(Firewall)===2 Ethernet Interfaces
Nachteil für dich ist das du dafür Geld in die Hand nehmen musst für eine neue externe Firewall mit VPN Funktion, die du eigentlich ja schon hast....
Es gäbe aber auch noch eine andere Möglichkeit:
Du nimmst einen Layer 3 LAN Switch und definierst dort 3 VLANs drauf. Eins ist dein bestehendes Netz, eins ist für dein neues VPN Segment und eins für den Zugang zum VPN/Router ins Internet:
(Internet)---Router---(Layer 3 Switch mit 3 VLANs
Auf dem Switch hast du nun 3 vollständig getrennte IP Segmente die du untereinander im Switch dann routen kannst. Über Access Listen kannst du sehr granular den Zugang zu den einzelnen Segmenten steuern. Z.B. das ein Zugang aus deinem neuen VPN Segment ins bestehende LAN geblockt ist oder nur für bestimmte Dienste (Zugriff auf den neuen Server).
Dies erfordert zwar auch eine finanzielle Investition ist aber erheblich weniger als z.B. eine neue FW oder VPN Gateway, da L3 fähige Switches derzeit recht preiswert zu haben sind. Weiterer Vorteil: Du kannst deine bestehende Checkpoint weiterbenutzen musst dort nur lediglich 2 Netze im Routing eintragen. Layer 3 Switches gibt es einigermaßen preiswert von einschlägigen Anbietern. Achte aber darauf das du bei dem Switch die Möglichkeit hast Layer 3 ACLs zu definieren. Eigentlich ein Standardfeature aber es gibt taiwanesische Billigsysteme die auf sowas verzichten aus Preisgründen. M.E. die am wenigsten aufwendigste Lösung.
Gibts es eine "sichere"
Software-VPN-Lösung für Windows?
Die eingebaute funktioniert zwar aber soll
nicht das sicherste sein.
Gibt es eigentlich reine VPN-Boxen,
ähnlich einem Router aber nur zu
VPN-Zwecken, die man davor setzen
könnte?
Software-VPN-Lösung für Windows?
Die eingebaute funktioniert zwar aber soll
nicht das sicherste sein.
Gibt es eigentlich reine VPN-Boxen,
ähnlich einem Router aber nur zu
VPN-Zwecken, die man davor setzen
könnte?
Es gibt bestimmt einige günstige VPN Boxen auf dem Markt.
Nunja, Windows und die Sicherheit... Ich finde, Microsofts Ruf ist (aufgrund massiver Probleme in der Vergangenheit) schlechter als die momentane Wirklichkeit.
Es stimmt, dass vor einiger Zeit ein paar findige Studenten nachgewiesen haben, dass PPTP knackbar ist. Gut.
Gratuliere den Jungs für diese Meisterleistung!
Wir sollten jedoch die Kirche im Dorf lassen.
Nur weil ein paar gelangweilte Studenten mit IQ 215 dies unter Testlabor-Bedingungen geschafft haben, würde ich nicht übergehen zu sagen, dass PPTP gänzlich unsicher ist!
Es ist immer ein Abwägen zw. Aufwand und Sicherheitsgewinn.
de.wikipedia.org/wiki/PPTP
Für eine Bank oder den CIA würde ich PPTP wohl nicht einsetzen, für den Zugriff auf deinen 2ten Server, den relativ wenige Leute gelegentlich nutzen werden, hätte ich keine Skrupel es einzusetzen. Es ist einfach zu konfigurieren, und läuft stabil.
Es ist einfach die Frage, wieviel mehr an Geld und Aufwand ich bereit bin, in eine gefühlte Steigerung der Sicherheit zu investieren, die vielleicht die Wahrscheinlichkeit einer feindlichen Übernahme tatsächlich um gerade mal 2% verringert.
Also müsste der vorhandene Switch gegen einen Layer-3 fähigen ausgetauscht werden.
Ich kenne mit erweiterten Netzkonfiguration sprich Layer-3 nicht aus. Wie realisiert der Switch die Trennung der beiden Netze? Sind die Rechner dann alle im gleich IP-Netz und der Switch regelt den Datenverkehr nach vorgegeben Regeln, sprich auf Port XY darf zwischen beiden Netzen kommuniziert werden auf anderen Ports wiederum nicht?
Muss mich da glaub ich noch was einlesen. Aber vielleicht kannst du das schon mal im Groben umreissen wie das dann funktioniert.
Ich kenne mit erweiterten Netzkonfiguration sprich Layer-3 nicht aus. Wie realisiert der Switch die Trennung der beiden Netze? Sind die Rechner dann alle im gleich IP-Netz und der Switch regelt den Datenverkehr nach vorgegeben Regeln, sprich auf Port XY darf zwischen beiden Netzen kommuniziert werden auf anderen Ports wiederum nicht?
Muss mich da glaub ich noch was einlesen. Aber vielleicht kannst du das schon mal im Groben umreissen wie das dann funktioniert.
Also kann ich das eingebaute VPN von Windows als sicher einstufen. Sicher heißt für mich, das es nicht von jedem Script-Kiddy innerhalb von Sekunden ausgehebelt wird. Habe das "sicher" ja nicht umsonst in Anführungszeichen gesetzt.
Um auch nochmal nen Spruch loszuwerden :D :
Mit der IT-Sicherheit ist das wie mit Fahrradschlössern, wenn man nur genug Zeit und die richtige Ausrüstung hat.......
Um auch nochmal nen Spruch loszuwerden :D :
Mit der IT-Sicherheit ist das wie mit Fahrradschlössern, wenn man nur genug Zeit und die richtige Ausrüstung hat.......
Also kann ich das eingebaute VPN von Windows
als sicher einstufen. Sicher heißt
für mich, das es nicht von jedem
Script-Kiddy innerhalb von Sekunden
ausgehebelt wird. Habe das
"sicher" ja nicht umsonst in
Anführungszeichen gesetzt.
als sicher einstufen. Sicher heißt
für mich, das es nicht von jedem
Script-Kiddy innerhalb von Sekunden
ausgehebelt wird. Habe das
"sicher" ja nicht umsonst in
Anführungszeichen gesetzt.
Ich würde sagen - es ist in Verbindung mit starken Passwörtern durchaus einsetzbar.
Da helfen Passwortrichtlinien (Gruppenrichtlinien) , um den Usern auf die sicherheitstechnischen Sprünge zu helfen...
Wenn auf den Benutzer-Rechnern zufällig Keylogger / Trojaner vor sich hinbrüten, ist jedoch KEIN Zugriffsverfahren oder Protokoll sicher. Da würde nur noch RSA SecureID helfen (Einmal-Passwörter).
Ja, das ist recht einfach. Du definierst die Portzugehörigkeit auf dem Switch zu den VLANs und hängst dort dann per Konfig ein IP Interface rein. Das sieht dann ungefähr so aus (..ist aber bei unterschiedlichen Switch Herstellern ggf. etwas anders). Hier mit Filterliste vom VPN Segment ins Büronetz:
vlan 1 name Büronetz by port
untagged ethe 1 to ethe 10
router-interface vlan 1
vlan 2 name VPN by port
untagged ethe 11 to ethe 20
router-interface vlan 2
vlan 3 name Internet by port
untagged ethe 22
router-interface vlan 3
interface vlan 1
ip address 192.168.1.254 255.255.255.0
access-group 100 in
interface vlan 2
ip address 192.168.2.254 255.255.255.0
interface vlan 3
ip address 192.168.3.254 255.255.255.0
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Die Vlan Interfaces auf dem Switch sind dann die default Gateways für die Endgeräte in diesen Segmenten.
vlan 1 name Büronetz by port
untagged ethe 1 to ethe 10
router-interface vlan 1
vlan 2 name VPN by port
untagged ethe 11 to ethe 20
router-interface vlan 2
vlan 3 name Internet by port
untagged ethe 22
router-interface vlan 3
interface vlan 1
ip address 192.168.1.254 255.255.255.0
access-group 100 in
interface vlan 2
ip address 192.168.2.254 255.255.255.0
interface vlan 3
ip address 192.168.3.254 255.255.255.0
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Die Vlan Interfaces auf dem Switch sind dann die default Gateways für die Endgeräte in diesen Segmenten.
Da ist auch ne kl. Erklärung zu VLANs u. dem Themenkomplex.
Um den VLANs direkt IP-Adressen geben zu können braucht man SVIs (Switch Virtual Interfaces) oder BVIs (Bridge Virtual Interface) meines Wissens. Kann auch nicht jeder.
Um den VLANs direkt IP-Adressen geben zu können braucht man SVIs (Switch Virtual Interfaces) oder BVIs (Bridge Virtual Interface) meines Wissens. Kann auch nicht jeder.
Vielen Dank für alle Antworten. Ich werde mich mal in die Vlan´s einlesen.
