Firmen VPN per VM sicher?

Mitglied: DennisWeber

DennisWeber (Level 1) - Jetzt verbinden

13.01.2021 um 12:53 Uhr, 1029 Aufrufe, 18 Kommentare

Hallo zusammen,

aktuell bin ich in Homeoffice.

Die VPN Software "Cisco Anyconnect" wurde in einer VM (mit Win 10) installiert und verbinde mich dort in das Firmennetzwerk.
Ich wollte nämlich mein Privaten PC von der Fimennetzwerk abschotten, dadurch laufe ich bestimmte gefahren nicht etc und privat bleibt privat.
Die Tatsache, dass ich im Homeoffice bin liegt an Corona. Die Firme konnte daher nicht in kürzester zeigt Laptops austellen etc.
Aber das stört mich halt nicht.
Wichtig ist, dass private von beruflichen abgeschottet wird.

Oder laufe ich trotzdem Gefahr, dass ich auf meinem Hauptsystem ins Fimennetz komme?
Es geht mir darum, das wenn ich eine Seite auf meinem Haupsystem öffnen, nicht über das Firmennetz routet.

Das sind die Netzwerkeinstellungen der VM:
netz - Klicke auf das Bild, um es zu vergrößern
Mitglied: jrglndmnn
13.01.2021 um 12:56 Uhr
Welche Art von Bridge hast du eingestellt?
Bitte warten ..
Mitglied: DennisWeber
13.01.2021 um 12:59 Uhr
Die NEtzwerkeinstellung für die VM ist NAT.

Oderwas genau meinst du?
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 13:06 Uhr
Ich glaube, ich hab grad etwaws gepatzt! Ich bin davon ausgegangen, das du HyperV benutzt (weil du Windows geschrieben hattest, da denk ich automatisch als erstes an HyperV)

Wenns HyperV ist, erstellt der als aller erstes eine Virtual Bridge, die hat dann wiederrum verschiedene Modi (privat, shared) was dann steuert, ob deine VM den Host erreichen kann oder nicht. Du bräuchtest dann eine VM, die den Host nicht erreicht und ausschliesslich nur den VPN Port als Gateway nutzt.
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021, aktualisiert um 13:11 Uhr
Wenn du meine Meinung zu dem Problem wissen willst: Die Firma soll dir einen Laptop zuschicken. Es ist nicht deine Pflicht, dass du Arbeitsmittel stellst. Ausserdem stellen sich da für die Firma Fragen bzgl. des Datenschutzes und der Konfigurationshoheit, des Versicherungsschutzes und der Haftung.
Bitte warten ..
Mitglied: Xerebus
13.01.2021 um 13:14 Uhr
Das ist VMware Workstation oder?
Bitte warten ..
Mitglied: DennisWeber
13.01.2021 um 13:18 Uhr
Ja, VMWare Workstation 16 Player
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 13:20 Uhr
versuch mal die ip deines host's von der vm aus anzupingen.
Bitte warten ..
Mitglied: DennisWeber
13.01.2021 um 13:20 Uhr
Wenn die öffentliche IP zwischen den zwei Vergleiche per wieistmeineip.de, dann ist du unterschiedlich.
Heißt es es läuft getrennt?
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 13:22 Uhr
das deutet drauf hin, das deine vm den vpn nutzt aber beantwortet noch nicht, ob host und vm sich erreichen
Bitte warten ..
Mitglied: DennisWeber
13.01.2021 um 13:33 Uhr
Unter ipconfig hat er zwei Netzwerkadapter.
Das eine wurde wahrscheinlich durch installieren der von Cisco AnyConnect VPN hinzugeführt.
Wenn ich diese IP anpinge auf den Hauptsystem dann ist sie nicht erreichbar.


Wenn ich die Ip aud dem anderen Adaper anpinge, dann kommt Zeitüberschreitung.
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 13:38 Uhr
bei aktivem vpn client oder wenn das vpn deaktiviert ist?

vpn clients verhalten sich meistens so, dass sie die netzwerkeinstellungen beim start so konfigurieren, dass sie sämtlichen datenverkehr über das vpn leiten. da du aber sicherheitsaspekte als motivation genannt hast, stellt sich die frage was passiert, wenn du deinen vpn client deaktivierst.
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 13:44 Uhr
Nach dem lesen des Wiki-Eintrags denke ich, NAT ist soweit sicher:

...Der Gast bekommt eine IP in einem von VMware dafür eingerichteten privaten Netz, das sich vom physischen Netz des Hostrechners unterscheidet...

https://de.wikipedia.org/wiki/VMware_Workstation#Netzwerkkonfiguration
Bitte warten ..
Mitglied: DennisWeber
13.01.2021 um 13:50 Uhr
Wenn ich VPN deaktivere, dann ist er per Ping erreichbar.

Es geht mir aber nur darum, dass sämtliche Internetaufrufe und Transationen, die ich auf meinem Hauptsystem ausführe, nicht übers Firmennetz geroutet wird.

Aber wenn du meinst, dass man den Hauptsystem und VM-System noch weiter einschränken soll, dann müsste sich die Netzwerkeinstellung
Bridge und Replicate physi. network connection state haben siehe Bild, oder?
Bitte warten ..
Mitglied: aqui
13.01.2021, aktualisiert um 14:07 Uhr
Welche Art von Bridge hast du eingestellt?
VPNs sind immer geroutet...tzzz
Wichtig ist, dass private von beruflichen abgeschottet wird.
Kleiner 20 Euro Router mit Firewall und schon ist dein privates Netz mit Frau und Kids vom Dienstlichen getrennt und du kannst ruhig schlafen. Eigentlich sollte deine Firma viel mehr Angst haben das über deine privaten Gadgets Viren und Verschlüsselungstrojaner aufs Firmennetz kommen und das lahmlegen...
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Mit der richtigen HW in max. 20 Minuten erledigt.
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 14:09 Uhr
Versteh mich da nicht falsch - meine Meinung zu deinem Problem ist, dass dein Arbeitgeber dir einen Rechner zur Verfügung stellen sollte.

Aber ich finde das Szenario, was du vorhast aus technischer Sicht recht interessant. Auch deshalb, weil ich mich selbst mit Virtuellen Maschinen beschäftige und da weiter Erfahrung sammeln will.



Zitat von DennisWeber:
Es geht mir aber nur darum, dass sämtliche Internetaufrufe und Transationen, die ich auf meinem Hauptsystem ausführe, nicht übers Firmennetz geroutet wird.

Solange du deinen Privatrechner nicht anweist, dass er in irgendeiner Form deine VM als Gateway benutzen soll (Routing) geht dein privater Netzwerkverkehr über deinen Router ins Internet und damit auch die HTTP(s) anfragen.

Ich glaube, ich hatte da dann doch was falsch Verstanden gehabt. Ich dachte du willst ausschließen, dass Bsp-weise deine NAS durch die VM nicht erreichbar ist oder so.


Zitat von DennisWeber:
Aber wenn du meinst, dass man den Hauptsystem und VM-System noch weiter einschränken soll, dann müsste sich die Netzwerkeinstellung
Bridge und Replicate physi. network connection state haben siehe Bild, oder?

Bild? Welches Bild?
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 14:19 Uhr
Zitat von aqui:

Welche Art von Bridge hast du eingestellt?
VPNs sind immer geroutet...tzzz
Wichtig ist, dass private von beruflichen abgeschottet wird.
Kleiner 20 Euro Router mit Firewall und schon ist dein privates Netz mit Frau und Kids vom Dienstlichen getrennt und du kannst ruhig schlafen. Eigentlich sollte deine Firma viel mehr Angst haben das über deine privaten Gadgets Viren und Verschlüsselungstrojaner aufs Firmennetz kommen und das lahmlegen...
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Mit der richtigen HW in max. 20 Minuten erledigt.


Das VPN ist wahrscheinlich geroutet, die virtual Bridge des Hypervisors aber nicht zwingend und die hatte ich hier gemeint. Wenn sich die Firma was emotet-mäßiges einfängt und er den VPN Client herunter fährt (und damit die Routingeinstellungen zurückgesetzt werden), wärend selbiges auf der VM wütet, könnte es zu einem interessant-unangenehmen Szenario führen. Das Szenario lässt sich auch umdrehen, man fängt sich privat was ein, es wütet in der VM und dann fährt man den VPN Client hoch.
Bitte warten ..
Mitglied: DennisWeber
13.01.2021 um 14:20 Uhr
Damit war das Bild oben in der Frage gemeint
Bitte warten ..
Mitglied: jrglndmnn
13.01.2021 um 14:39 Uhr
Ah, ok. Danke.

Na was mich jetzt etwas wundert ist, dass im Wiki-Eintrag das VMWare NAT so geschildert wird, dass der Host nicht erreichbar sein dürfte, du aber geschrieben hattest, dass du den Host von der VM aus anpingen kannst, wenn das VPN abgeschaltet ist.

Das widerspricht sich woraus sich die Frage ergibt, wo der Fehler liegt. Den Wiki-Artikel muss ich erstmal so hinnehmen. Hast du von der Vm aus deinen Host angepingt (also den Rechner, auf dem die VM läuft)?
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
HomeOffice Pflicht - Büroaustattung vom Arbeitgeber?
h45okeg493sVor 1 TagFrageOff Topic37 Kommentare

Hallo zusammen, aufgrund der HomeOffice Situation wollte ich mal rumfragen, muss der Arbeitgeber neben der Hardware wie Notebook, etc. auch Büroausstattung wie Bürostühle zur ...

Server-Hardware
Gebrauchte Server von eBay-Kleinanzeigen
gelöst dh2411Vor 1 TagFrageServer-Hardware16 Kommentare

Hallo zusammen, neulich war ich auf eBay-Kleinanzeigen unterwegs und dort wurden mir einige Server vorgeschlagen. Ich habe dort auch meinen aktuellen Home-Server recht günstig ...

Switche und Hubs
Kurioses Problem IP Adresse ändern am Cisco SG350 10p
gelöst Xaero1982Vor 1 TagFrageSwitche und Hubs16 Kommentare

Moin Zusammen, ich habe hier einen neuen Cisco SG350 10p. Wie schon so oft wollte ich ihm eine neue IP geben, also gehe ich ...

Windows Tools
Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)
nachgefragtVor 1 TagFrageWindows Tools6 Kommentare

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Internet
TV-Anschluss zu DSL Anschluss
FabioST88Vor 1 TagAllgemeinInternet12 Kommentare

Hallo zusammen, ich bin vor kurzer Zeit in eine kleine Wohnung gezogen und habe nur einen TV-Anschluss sprich das runde Kabel. Leider kenne ich ...

TK-Netze & Geräte
Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an
gelöst jensgebkenVor 1 TagFrageTK-Netze & Geräte24 Kommentare

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

Windows Server
NET 4.8 Installation scheitert auf Server 2016
gelöst powerkeksVor 1 TagFrageWindows Server13 Kommentare

Hallo, ich habe einen Server 2016 Essentials auf Blech zu laufen. Der update Stand ist aktuell. Das Gerät läuft bis dato unauffällig. Nun sollte ...

Exchange Server
Exchange 2016: Wie mit eingebetten Fotos umgehen oder ablehen
mossoxVor 1 TagFrageExchange Server15 Kommentare

Guten Morgen, Ihr kennt das Problem sicher. Statt zu scannen und PDF zu schicken fotografieren Kunden in HDR-Auflösung Quittungen ab und bomben dann 5-10 ...