Eurer VPN-Lösung von zuhause in die Firma

Moin zusammen,


wie geht ihr in der Firma mit der folgenden Situation um :
- zu viele Mitarbeiter & zu wenig Notebooks


In einer Firma muss zur Zeit gewährleistet werden, dass im Falle einer Auslagerung ins HomeOffice alle Kollegen über eine passende technische Infrastur verfügen, sodass ein Arbeiten von zuhause möglich ist.

Welche Möglichkeiten bietet ihr an?

1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist
2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?
- Was haltet ihr von der Möglichkeit, dass die Kollegen die private Hardware nutzen und nur über den RDP-Port auf den Rechner in der Firma gelangen?
- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?

Ich bin gespannt auf eure Vorschläge und bereits eingesetzten Methoden

Gruß
Sascha

Content-Key: 1540390471

Url: https://administrator.de/contentid/1540390471

Ausgedruckt am: 05.12.2021 um 08:12 Uhr

Mitglied: niklasschaefer
niklasschaefer 22.11.2021 um 16:42:07 Uhr
Goto Top
Hallo Sascha,

Genau aus diesem Grund haben wir bei uns Citrix Desktops eingeführt. Die Anwender bekommen auf ihrem Privatgerät die Citrix App installiert und vom lokalen Client werden maximal Mikro, Kamera als aktive Geräte durchgeschleift alles andere ist verboten. Ansich sind wir mit der Lösung halbwegs zufrieden. Wir werden jetzt aber auf eine andere Lösung umschwenken und zwar die Kombination aus VPN und Microsoft Terminalserver. Das VpN kommt per 2Faktor Authentifizierung auf die Privatclients und dann ist per VPN nur der Zugriff per HTTPS auf den Microsoft Terminal Server WebAccess. Somit ist gewährleistet das sie mit dem Privatgerät auf die Ressourcen der Firma kommen.

Die User die das Privatgerät nicht nutzen können und wollen werden Notebooks verteilt aber das ist die Ausnahme.

Grüße
Niklas
Mitglied: SeaStorm
SeaStorm 22.11.2021 um 16:50:13 Uhr
Goto Top
Bei uns auch Citrix.
Wer kein Notebook hat und den privaten Rechner nutzt, der kann sich per Citrix HTML5 Receiver bzw per Workspace App auf einen Terminalserver einloggen.
Citrix hat Azure MFA zur Authentifizierung, von daher ist das mit der Security auch geregelt.
Mitglied: em-pie
em-pie 22.11.2021 um 16:58:49 Uhr
Goto Top
Zitat von @SeaStorm:

Bei uns auch Citrix.
Wer kein Notebook hat und den privaten Rechner nutzt, der kann sich per Citrix HTML5 Receiver bzw per Workspace App auf einen Terminalserver einloggen.
Citrix hat Azure MFA zur Authentifizierung, von daher ist das mit der Security auch geregelt.

Hier fast ähnlich, nur dass wir keine 2MFA von Azure nutzen, sondern von Gemalto.
Als Bindeglied greift der Citrix NetScaler...

Läuft hier und alles sind zufrieden, weil es einfach ist.
"Rufe citrix.contoso.tld auf"
"Melde dich mit dem Token vom Handy an"
"Arbeite"

Gruß
em-pie
Mitglied: ukulele-7
ukulele-7 22.11.2021 aktualisiert um 17:01:30 Uhr
Goto Top
Also über die Firewall kannst du schonmal ne ganze Menge aus dem Netz raus halten. SMB/CIFS solltest du auf jeden Fall mit privaten Geräten unterbinden, eigentlich alles und nur RDP auf machen. Außerdem das mounten von Speicher in der Terminal Sitzung und die Zwischenablage deaktivieren.

Verstehe ich das richtig das sich jeder Mitarbeiter auf einen eigenen Fat Client in der Firma aufschaltet? Ideal wäre das nicht, besser ein Terminal Server. Es muss ja nicht gleich Citrix sein, das bietet aber natürlich noch das ein oder andere Sicherheitsfeature.
Mitglied: DerWoWusste
DerWoWusste 22.11.2021 um 17:14:12 Uhr
Goto Top
Teilweise 2) mittels Ecos SBS
https://www.ecos.de/produkte/secure-boot-stick/secure-boot-stick-sx
Geringe Restrisiken.
Mitglied: erikro
erikro 22.11.2021 um 18:58:47 Uhr
Goto Top
Moin,

Zitat von @Sasu22:
wie geht ihr in der Firma mit der folgenden Situation um :
- zu viele Mitarbeiter & zu wenig Notebooks

Wir kaufen mehr Notebooks. Die Coronabooks haben dafür eine eigene Kostenstelle bekommen.

In einer Firma muss zur Zeit gewährleistet werden, dass im Falle einer Auslagerung ins HomeOffice alle Kollegen über eine passende technische Infrastur verfügen, sodass ein Arbeiten von zuhause möglich ist.

Mein (noch) Arbeitgeber ist da der Meinung, dass das Aufgabe des Arbeitgebers ist, wie es ja auch im Gesetz steht. Damit gebe ich keine allgemeingültige Rechtsauskunft, sondern nur die Meinung meines Arbeitgebers wieder. ;-) face-wink Bloß keine Debatte darüber. ;-) face-wink

Welche Möglichkeiten bietet ihr an?

1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist

Ja.

2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?

Das ist sogar laut IT-Richtlinien verboten. Privatgeräte dürfen nicht für dienstliche Zwecke benutzt werden. Wer was braucht, der kriegt es auch.

- Was haltet ihr von der Möglichkeit, dass die Kollegen die private Hardware nutzen und nur über den RDP-Port auf den Rechner in der Firma gelangen?
- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?

Technisch gibt es da sicherlich gute Lösungen ob mit RDP oder mit Citrix. Eigentlich egal. Aber ich halte auch aus technischer Sicht nichts davon. Das muss nämlich auch supportet werden. Und wie will ich ein Gerät supporten, bei dem der Admin ein Laie ist? Was ich in den letzten zwei Jahren an privaten DSL-Problemen supporten musste, weil die Leut nicht arbeiten konnten, war schon schlimm genug. Ich sag nur: Privatkundenhotlinehölle! "Bitte legen Sie nicht auf! Wir sind gleich für Sie da!" Seltsame Vorstellung von "gleich". ;-) face-wink

Auf Firmengeräten habe ich eine wohldefinierte Umgebung, an der der User nichts ändern kann. Privatnutzung ist verboten. Damit ist alles, was sonst noch aus guten und nicht moralischen Gründen verboten ist, auch gleich vom Tisch. Wer's doch macht und erwischt wird, riskiert seinen Job. Der Supportaufwand für das Home-Office ist m. E. sowieso schon hoch genug. Da kann ich keine Rechner gebrauchen, auf denen alle Nas' lang Spiele installiert und deinstalliert werden. Der nie neu gestartet wird, weil der User den "Ruhezustand" entdeckt hat, auf dem alle Nas' lang irgendeine Social Media App installiert wird usw. usf.

Und dann bleibt da immer noch das gar nicht so erhebliche Risiko eines Durchbruchs. Das ist doch so schwer nicht. Wenn sich der Mitarbeiter (wenn ich so darüber nachdenke, waren es bis auf einmal alles Männer, mit denen es Vorfälle gab ...), der ja schließlich Admin-Rechte auf seinem PC hat. Ist ja seiner. Kann ich ihm nicht verbieten. Wenn sich also dieser Mitarbeiter einen Trojaner einfängt oder ihn sogar gezielt untergejubelt bekommt, der sich in Tastatur, Kamera und Bildschirm hooked, dann ist der Durchbruch auf die Firmendaten komplett. Gelingt es mir, auf die Schnittstellen direkt zuzugreifen, dann sind alle Verschlüsselungen ausgehebelt. Wenn ich das jetzt weiter ausführe, verstoße ich, glaube ich, gegen die Forumsregeln. ;-) face-wink

Das wären meine Gründe, warum ich langfristig immer daraufhin arbeiten würde, dass alle die Ausstattung bekommen, die sie brauchen. Und so teuer ist das nun auch nicht. Mittlerweile bekommt man schon wieder ganz ordentliche Notebooks für unter 500€ netto. Mir wurde gerade eins angeboten für 478€. Reicht für VPN und RDP. Dann noch einen schicken Monitor für ca. 150€, Maus und Tastatur auch nochmal 50€ (das kann mit Ergo-Maus mal auch ein wenig mehr sein). Insgesamt 700€. Abgeschrieben auf 5 Jahre macht das schlappe 140€/MA/a. Nicht gerade viel dafür, dass ich Rechner habe, die unter meiner vollen Kontrolle stehen.

my 2 cents
Mitglied: Dani
Dani 22.11.2021 um 23:11:39 Uhr
Goto Top
Moin,
Welche Möglichkeiten bietet ihr an?
a) Kollegen, welche ein dienstliches Notebook haben, können diese mitnehmen. Sobald eine Internetverbindung besteht, erfolgt ein automatischer VPN-Verbindungsaufbau zum Firmennetz.
b) Wir haben 90% der IT-Arbeitsplätze in einer VDI. Somit kann der Zugriff von zu Hause via Browser (HTML5) oder bei schmallbandigen Anschlüssen via Software Client in Kombination mit OTP Hardware Token eine Verbindung hergestellt werden. Über DriveLock stellen wir sicher, dass nur autorisierte Geräte in die Sitzung weitergereicht werden.

Gerade letzte Option kommt sehr oft zum Einsatz. So dass keine weitere Hardware zu Hause steht. Kommt bei vielen Leuten sehr gut an. Ansonsten gibt's eben ein Thicnlient mit TFT mit nach Hause. Spätestens dann überlegen es sich viele zwei Mal. :-) face-smile


Gruß,
Dani
Mitglied: tech-flare
tech-flare 23.11.2021 aktualisiert um 09:36:13 Uhr
Goto Top
Zitat von @Sasu22:

Moin zusammen,
hi

1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist
2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?
Zugriff nur auf eine VDI via Client oder Browser

- Was haltet ihr von der Möglichkeit, dass die Kollegen die private Hardware nutzen und nur über den RDP-Port auf den Rechner in der Firma gelangen?
wenn du den RDP Port direkt aufmachst, kannst du darauf warten, dass ihr euch etwas einfangt.

- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?
Wir nutzen VMware Horizon mit 2FA für externen Zugriff und Intern in der Produktion RDS Server. Diese kann man aber auch über den RDS Gateway Server veröffentlichen. Mittlerweile auch als HTML5 Applikation

Die MA bekommen Thinclient mit IGEL OS mit nach Hause, sofern sie kein Firmen Notebook besitzen.
Mitglied: Deepsys
Deepsys 23.11.2021 um 09:58:50 Uhr
Goto Top
Hallo,
so standen wir im letzten Jahr auch mal da, mittlerweile haben alle Notebooks und Citrix.

Auf die Schnelle geht aber:
- VPN-Client (SSL oder IPSec, IKEv2) auf dem privaten PC installieren lassen
- VPN macht nur RDP und wenn es sein muss DNS
- auf den Firmen PCs RDP und WOL konfigurieren

VG,
Deepsys
Mitglied: wobit94
wobit94 24.11.2021 um 12:52:47 Uhr
Goto Top
Windowss 11 aus der Clound von Microsoft nutzen. Deutlich performanter als irgend so ein legacy Citrix-Schrott.
Von dort dann meinetwegen per OpenVPN in die Firma.
Mitglied: Dani
Dani 24.11.2021 um 20:41:43 Uhr
Goto Top
Moin,
Windowss 11 aus der Clound von Microsoft nutzen. Deutlich performanter als irgend so ein legacy Citrix-Schrott.
möchtest du die Aussage noch mit Daten untermauern?!


Gruß,
Dani
Heiß diskutierte Beiträge
question
Hausüberwachung Kameraingo1988Vor 1 TagFragePeripheriegeräte8 Kommentare

Hallo an alle, ich möchte ab sofort mein Haus mit Kameras überwachen lassen. Es sollen 4 Kameras außen am Haus angebracht werden. Ich möchte die ...

question
3 VLANs auf eine Dose. PC bekommt IP vom falschen NetzKostasVor 1 TagFrageNetzwerke6 Kommentare

Hallo Zusammen, ich habe an einem Arbeitsplatz leider NUR eine Dose. Das VLAN=10 ist für die Drucker Das VLAN=20 ist für die PCs Das VLAN=30 ...

question
Hard- und SoftwarebeschaffungVigo16Vor 1 TagFrageHardware8 Kommentare

Hallo Zusammen, da ich kürzlich in einem gemeinnützige Verein als erster und alleiniger Inhouse Administrator angefangen habe und vorher nichts mit Hard- und Softwarebeschaffung am ...

general
Zur AdventszeitAnkhMorporkVor 1 TagAllgemeinHumor (lol)2 Kommentare

Wer es nicht kennt, sollte es kennen lernen (mMn): Viel Spaß, jede Diskussion überflüssig Ankh ...

question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 17 StundenFrageE-Mail13 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Pfsense sinnvoll in Umgebung einbindendertowaVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Hallo zusammen, ich grüble schon länger über eine saubere Möglichkeit zur Integration der pfsense, da ich mich damit auch gern mal beschäftigen möchte. Aktuell habe ...

question
Reicht eine Geforce GT1030 2GB 64bit für Photoshop Illustrator?isarc01Vor 1 TagFrageGrafikkarten & Monitore3 Kommentare

Hallo, ich habe derzeit eine Geforce GTX 550 TI. (192bit) 1,5GB. Leider startet Photoshop nicht mehr. (Grafikkartenspeicher zu gering) Deshalb möchte ich mir eine GT1030 ...

question
Startscript wird nicht ausgeführt gelöst tsunamiVor 1 TagFrageWindows Server4 Kommentare

Hallo zusammen, ich habe ein Problem mit den GPOs. Ein simples Script zum testen: Liegt im richtigen Ordner. \\domäne.local\SysVol\domäne.local\Policies\{FB0087ED-7767-4A9E-B9D4-9497666F2C7E}\Machine\Scripts\Startup Der Ordner \\192.168.143.1\public\11_Software\AV\av_lang\ hat Zugriff durch ...