grav3
Goto Top

Cisco VPN Client dicht machen

Hallo Community,

ich habe folgendes Problem:

Ich will 5 Laptops an Leute ausliefern die nur bestimmte Sachen machen dürfen. D.h. die sollen sich über UMTS ins Internet einwählen können und dann per VPN sich ans Netzwerk einwählen, um dort 2 Programme starten zu können.
Alles schön und gut. Das System ist soweit dicht. Man kann da nichts mehr mit machen. Nun zu meiner Problematik: Wie kann ich den Cisco VPN Client so einstellen, dass der nur Connecten und Disconnecten kann? --> Man soll da nichts weiter mit machen können, keine Hilfe aufrufen, nichts.
Geht das überhaupt?
Bzw. kann man über die Netzwerkverbindungen eine neue VPN-Verbindung herstellen mit der man sich in das Firmennetzwerk einwählen kann? --> so als Alternativroute zum Cisco VPN Client... <--- Damit wäre das kein Problem mehr mit dem einwählen...

Oder habe ich da jetzt was übersehen bzw. falsch bedacht?

Über eine Hilfe eurerseits Wäre ich euch sehr dankbar. face-wink

Viele Grüße,
Grav3

Content-ID: 72447

Url: https://administrator.de/forum/cisco-vpn-client-dicht-machen-72447.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

spacyfreak
spacyfreak 31.10.2007 um 17:34:30 Uhr
Goto Top
Wenn man nur wüsste, was Du GENAU willst?
Wenn die User eingeschränkte Rechte auf den Laptops haben, können sie ja trotzdem den Cisco VPN Client starten. Dazu müssen bestimmte Ports offen sein - 50,500,4500 glaub ich.

Ansonsten wäre eventuell eine Verbindung per RDP in die Firma auf einen Firmen-Desktop-PC oder einen virtuellen PC (VMWare) eine bessere Idee - UMTS ist ja sooo schnell nicht, daher wäre RDP performanter. Allerdings ist die RC4 Verschlüsselung weniger sicher als IPSEC mit AES/SHA1, was Cisco in aller Regel benutzt. Ist die Frage, wie paranoid man sein will.
MehLan
MehLan 31.10.2007 um 20:10:20 Uhr
Goto Top
Wenn man nur wüsste, was Du GENAU
willst?
Wenn die User eingeschränkte Rechte auf
den Laptops haben, können sie ja
trotzdem den Cisco VPN Client starten. Dazu
müssen bestimmte Ports offen sein -
50,500,4500 glaub ich.

Ansonsten wäre eventuell eine
Verbindung per RDP in die Firma auf einen
Firmen-Desktop-PC oder einen virtuellen PC
(VMWare) eine bessere Idee - UMTS ist ja sooo
schnell nicht, daher wäre RDP
performanter. Allerdings ist die RC4
Verschlüsselung weniger sicher als IPSEC
mit AES/SHA1, was Cisco in aller Regel
benutzt. Ist die Frage, wie paranoid man sein
will.

So einen schöner Name,
aber was dahinter steck ist wirklich nur MIST.
VPN Port 1723 Standart
RDP Port 3389 Standart

aaasooo eins noch du meinst doch nicht wircklich das der Kollege eine unsichere RDP Verbindung aufbaut !
aaah IPsec man o meter, meistens nur bei VPN solltes du dir mal wirklich durch lesen,
was IPsec bietet.
einfach mal.......
spacyfreak
spacyfreak 31.10.2007 um 20:13:51 Uhr
Goto Top
@MehLan

Eventuell reden wir grad aneinander vorbei - ansonsten hab ich diesen Nickname für Leute gewählt, die genau das machen sollten, was der Nick sagt. face-wink

Was IPSEC ist muss ich nicht lesen - mein zweiter Vorname ist "VPN".
Das, wovon DU redest, ist PPTP (1723). Bei Cisco VPN Client redet man jedoch in den meisten Fällen von IPSEC (ASA, VPN Konzentrator). Und IPSEC ist eben etwas anderst aufgebaut als PPTP, und braucht mehrere andere Ports (ESP, Nat-Traversal usw.).

Dass RDP Port 3389 braucht ist auch kein Geheimnis.
Unsicher oder sicher ist immer wieder relativ. Manche Leute nutzen ohne mit der Wimper zu zucken simple Passwörter beim SSH Zugang auf Ihren SSH Server (was mit bestimmte Tools in null komma nix knackbar ist) oder gar telnet zur Administration, oder FTP zum Datentransfer (was GÄNZLICH unsicher ist, da Passwort als auch Daten unverschlüsselt sind), verdammen gleichzeitig RDP als "unsicheres" Protokoll. Einen guten Admin zeichnet aus, dass er einen Überblick über die "Gesamtsituation" hat, und sich nicht klug###erisch auf Detailaspekte versteift, und das "grosse Ganze" aus den Augen verliert, oder gar nie verstehen lernt.

RDP ist tatsächlich unsicherer als SSL, IPSEC oder PPTP. Soll aber nicht heissen dass es gänzlich unsicher wäre - nur eben WENIGER sicher. Biegt man den RDP Port noch um auf z. B. 9999, wird das auch kein Portscanner ermitteln, da es einem Hacker viel zu mühselig wäre, ALLE 65535 Ports abzuscannen. Der gängige Hacker wird nur die gängigen Ports scanne, um Sicherheitslücken zu ermitteln über den er den Einstieg versuchen kann. Doch selbst das Portsdcanning ist etwas aus der Mode gekommen, da man mittels Trojanern und Würmern viel leichter ein Netz "von innen" öffnen kann, als von aussen den Einstieg zu versuchen, der meist mit einer Firewall gesichert ist.

Wenn wir mit einem Vollschutzanzug und Motoradhelm Auto fahren würden, wäre das bestimmt auch sicherer - doch keiner tut es weil es schlicht schwachsinnig wäre. Wenn wir unser Auto irgendwo abstellen, schliessen wir die Türe ab, und gehen davon aus dass das Auto damit geschützt ist. Ein "Angreifer" könnte jedoch mit einem Stein das Fenster einschlagen, das Auto kurzschliessen und nach Polen abtransportieren. Warum sichern wir nicht auch die Autofenster ab? Ist doch eindeutig eine Sicherheitslücke? face-wink

Wenden wir diese Metapher nun auf Netzwerktechnik und IT-Sicherheit an...
So stellt sich auch die Frage, ob RDP in JEDEM Fall abzulehnen wäre, oder in bestimmten Fällen eine adequate Alternative zu komplexeren und teureren VPN Gebilden wäre - das muss jede Firma für sich entscheiden, wie sie das halten will. Bei langsamen Verbindungen (UMTS mit GPS Fallback) wird ein VPN viel zu zäh, als dass man damit arbeiten könnte. Das eignet sich dann höchstens zum Angeben ("..isch kann von überall mich ins Firma verbinden, Junge. Das ist cool. Ist zwar arschlangsam und ich weiss nicht wofür ich das brauche, aber ich KANN es..."). RDP oder Citrix (ICA) Protokoll sind genau für solche lahmen Anbindungen hervorragend geeignet, um einen Kompromiss zwischen Handhabbarkeit und Sicherheit zu realisieren, der in vielen Fällen ausreichend ist.

Ich hoffe Du verstehst jetzt im Ansatz, welchen Sinn mein Nickname hat. Wenn nicht, erklär ich es Dir eventuell noch mit einer Zeichnung.


Also worum gings nochmal konkret in Deiner Anfrage? face-wink
MehLan
MehLan 31.10.2007 um 20:47:04 Uhr
Goto Top
@MehLan

Eventuell reden wir grad aneinander vorbei -
ansonsten hab ich diesen Nickname für
Leute gewählt, die genau das machen
sollten, was der Nick sagt. face-wink

Was IPSEC ist muss ich nicht lesen - mein
zweiter Vorname ist "VPN".
Das, wovon DU redest, ist PPTP (1723). Bei
Cisco VPN Client redet man jedoch in den
meisten Fällen von IPSEC (ASA, VPN
Konzentrator). Und IPSEC ist eben etwas
anderst aufgebaut als PPTP, und braucht
mehrere andere Ports (ESP, Nat-Traversal
usw.).

Dann sag mir doch mal was du unter VPN Standart 1723 versteht?
Standartmässig ist das Protokoll PPTP.
Du kannst VPN sowohl mit IPSEC oder GRE (von Cisco erfunden) oder mit TTPT oder mit L2TP Fahren wo ist das Problem, bloß ich sehe da ein Problem, wenn du einen User hier eine unsichere RDP Verbindung zulassen möchtest.
Das solltes du doch eigentlich vermeiden, sowas unsicheres, auserdem wird er nie eine Verbindunbg mit RDP aufbauen können da der Cisco Router unsichere port gleich abweist nur mal zu info !
also was wilsst du jetzt,
dann last die Leute in Ruhe mit deine beschissenen INFO.
sorry
MFG

Dass RDP Port 3389 braucht ist auch kein
Geheimnis.
Unsicher oder sicher ist immer wieder
relativ. Manche Leute nutzen ohne mit der
Wimper zu zucken simple Passwörter beim
SSH Zugang auf Ihren SSH Server (was mit
bestimmte Tools in null komma nix knackbar
ist) oder gar telnet zur Administration, oder
FTP zum Datentransfer (was GÄNZLICH
unsicher ist, da Passwort als auch Daten
unverschlüsselt sind), verdammen
gleichzeitig RDP als "unsicheres"
Protokoll. Einen guten Admin zeichnet aus,
dass er einen Überblick über die
"Gesamtsituation" hat, und sich
nicht klug###erisch auf Detailaspekte
versteift, und das "grosse Ganze"
aus den Augen verliert, oder gar nie
verstehen lernt.

RDP ist tatsächlich unsicherer als SSL,
IPSEC oder PPTP. Soll aber nicht heissen dass
es gänzlich unsicher wäre - nur
eben WENIGER sicher. Biegt man den RDP Port
noch um auf z. B. 9999, wird das auch kein
Portscanner ermitteln, da es einem Hacker
viel zu mühselig wäre, ALLE 65535
Ports abzuscannen. Der gängige Hacker
wird nur die gängigen Ports scanne, um
Sicherheitslücken zu ermitteln über
den er den Einstieg versuchen kann. Doch
selbst das Portsdcanning ist etwas aus der
Mode gekommen, da man mittels Trojanern und
Würmern viel leichter ein Netz "von
innen" öffnen kann, als von aussen
den Einstieg zu versuchen, der meist mit
einer Firewall gesichert ist.

Wenn wir mit einem Vollschutzanzug und
Motoradhelm Auto fahren würden,
wäre das bestimmt auch sicherer - doch
keiner tut es weil es schlicht schwachsinnig
wäre. Wenn wir unser Auto irgendwo
abstellen, schliessen wir die Türe ab,
und gehen davon aus dass das Auto damit
geschützt ist. Ein "Angreifer"
könnte jedoch mit einem Stein das
Fenster einschlagen, das Auto kurzschliessen
und nach Polen abtransportieren. Warum
sichern wir nicht auch die Autofenster ab?
Ist doch eindeutig eine
Sicherheitslücke? face-wink

Wenden wir diese Metapher nun auf
Netzwerktechnik und IT-Sicherheit an...
So stellt sich auch die Frage, ob RDP in
JEDEM Fall abzulehnen wäre, oder in
bestimmten Fällen eine adequate
Alternative zu komplexeren und teureren VPN
Gebilden wäre - das muss jede Firma
für sich entscheiden, wie sie das halten
will. Bei langsamen Verbindungen (UMTS mit
GPS Fallback) wird ein VPN viel zu zäh,
als dass man damit arbeiten könnte. Das
eignet sich dann höchstens zum Angeben
("..isch kann von überall mich ins
Firma verbinden, Junge. Das ist cool. Ist
zwar arschlangsam und ich weiss nicht
wofür ich das brauche, aber ich KANN
es..."). RDP oder Citrix (ICA) Protokoll
sind genau für solche lahmen Anbindungen
hervorragend geeignet, um einen Kompromiss
zwischen Handhabbarkeit und Sicherheit zu
realisieren, der in vielen Fällen
ausreichend ist.

Ich hoffe Du verstehst jetzt im Ansatz,
welchen Sinn mein Nickname hat. Wenn nicht,
erklär ich es Dir eventuell noch mit
einer Zeichnung.


Also worum gings nochmal konkret in Deiner
Anfrage? face-wink
spacyfreak
spacyfreak 31.10.2007 um 20:52:14 Uhr
Goto Top
RDP hat mit dem Cisco VPN auch garnichts zu tun. Dass ein Cisco VPN Server nicht als RDP Endpunkt dienen kann ist klar.
RDP wäre nur eine Alternative zu VPN (ob nun PPTP oder IPSEC) die performanter wäre für den vom Threadersteller genannten Sachverhalt - eben UMTS Verbindung.
Was nutzt mir ein tod-sicherer VPN Tunnel, wenn die Internet-Anbindung des Clients so langsam ist, dass ich damit nur zäh arbeiten kann? UMTS ist garnicht so langsam - doch es ist nicht überall verfügbar, so dass in den meisten Fällen auf GPS heruntergestuft wird, was deutlich langsamer ist.
MehLan
MehLan 31.10.2007 um 20:58:40 Uhr
Goto Top
RDP hat mit dem Cisco VPN auch garnichts zu
tun. Dass ein Cisco VPN Server nicht als RDP
Endpunkt dienen kann ist klar.
RDP wäre nur eine Alternative zu VPN
(ob nun PPTP oder IPSEC) die performanter
wäre für den vom Threadersteller
genannten Sachverhalt - eben UMTS Verbindung.

Was nutzt mir ein tod-sicherer VPN Tunnel,
wenn die Internet-Anbindung des Clients so
langsam ist, dass ich damit nur zäh
arbeiten kann? UMTS ist garnicht so langsam -
doch es ist nicht überall
verfügbar, so dass in den meisten
Fällen auf GPS heruntergestuft wird, was
deutlich langsamer ist.

Kuckmal, erstens machst gerade UMTS fast zu nichte, dabei sind es bald 10Mbit (jetzt 7,5Mbit)
zweitens der Kollege möche mit Cisco VPN Client arbeiten, soll er für dich jetzt den Router wechsel, mann Cisco VPN CLIENT ist nur für CISCO Router mal was davon gehört.
mann mann mann

Lass den ### und zieh dich zurück !
spacyfreak
spacyfreak 01.11.2007 um 07:38:06 Uhr
Goto Top

Lass den ### und zieh dich zurück


Genau! Einfach mal die Klappe halten. Sag ich doch! face-wink