peterz
Goto Top

Homeoffice für jedermann

Hallo zusammen,
im Zeitalter von Emotet und andere Ransomware kommt unsere Geschäftsführung auf die Idee, allen Mitarbeitern das Homeoffice zu vereinfachen. Im schwebt vor, dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann. Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.

Wie könnte so etwas ganz grob aussehen?

Ist so was mit Microsoft Boardmitteln umzusetzen? Stichwort Netzwerkrichtlinienserver und Quarantänenetzwerk.
Wäre sowas mit einer Citrix Umgebung darzustellen?

Gibt es überhaupt jemanden der jemanden kennt, der so etwas für seine Mitarbeiter zur Verfügung stellt?

Danke für euren Input.

Content-ID: 554528

Url: https://administrator.de/forum/homeoffice-fuer-jedermann-554528.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

Archeon
Archeon 05.03.2020 um 07:59:04 Uhr
Goto Top
Hallo,

also von privaten Geräten aus halte ich das auch für eher fragwürdig, aber prinzipiell ist VPN + Terminalserver die vermutlich einfachste Lösung, das hängt ja auch immer ein wenig von der Anzahl der Mitarbeiter und natürlich auch der für die Arbeit benötigten Software ab.

Gruß
killtec
killtec 05.03.2020 um 08:01:23 Uhr
Goto Top
HI,
wie @Archeon schon sagt, VPN und Terminalserver.
das VPN machst du über deine Firewall. Da kannst du auch entsprechende Regeln anlegen, dass die User z.B. nur auf die Terminalserver kommen.

Wie du schon bemerkt hast, von Privaten Rechnern ist das eher Kontraproduktiv...

Gruß
DerWoWusste
DerWoWusste 05.03.2020 aktualisiert um 08:16:13 Uhr
Goto Top
Moin.

Ein gangbarer Weg wäre, das Privatgerät mit einem Bootstick zu starten, so dass die evtl. auf dem Heimgerät installerte Malware außen vor bleibt.
Hierbei wird ein Mini-Linux gebootet, das ein VPN zur Firma aufbaut und eine RDP-Verbindung ermöglicht.

So einen Ansatz verkauft Ecos - wohlgemerkt in 3 Varianten, die eine davon sogar BSI-zugelassen für Bearbeitung von Verschlusssachen.
https://www.ecos.de/produkte/zugangskomponenten/secure-boot-stick-sx/
StefanKittel
StefanKittel 05.03.2020 um 08:17:44 Uhr
Goto Top
Hallo,

ein Kunde von mir hat seinen MAs Fujitsu G558 mit Monitoren und Drucker mitgegeben.
Die sind recht günstig.

Alternativ (gebrauchte) Thin-Clients.

Stefan
Inf1d3l
Inf1d3l 05.03.2020 um 08:21:35 Uhr
Goto Top
Welcher 08/15-MA weiß denn, wie man von einem Stick startet oder einen VPN-Client installiert. Letztendlich wird man Geräte (Laptops) mitgeben müssen oder es läuft auf SSL-VPN hinaus.
monstermania
monstermania 05.03.2020 aktualisiert um 08:55:50 Uhr
Goto Top
Moin,
wir nutzen seit vielen Jahren Citrix für den Zugriff der Mitarbeiter. Dabei ist es prinzipiell vollkommen egal, ob der MA sein privates Gerät oder ein firmeneigenes Gerät verwendet. Es muss halt die richtige/unterstütze Version der Citrix WS App auf dem genutzten Endgerät vorhanden sein.
Damit haben wir auch sehr gute Erfahrungen gemacht. Das charmante ist halt, dass abgesehen von der Citrix App keine VPN-Software auf den Endgeräten vorhanden sein muss und das quasi jedes OS unterstützt wird.
Mit der Einrichtung von VPN wäre das Gros der Mitarbeiter vollkommen überfordert. Die Installation der Citrix WS App bekommen die grad noch so hin. Aber ist halt nicht billig!

Gruß
Dirk
athi1234
athi1234 05.03.2020 um 08:34:37 Uhr
Goto Top
Für solche Konstrukte sind schon immer Terminalserver mit Microsoft RDS, Citrix oder Parallels RAS die erste Wahl.
Cloudrakete
Cloudrakete 05.03.2020 um 08:51:05 Uhr
Goto Top
Hallo Peterz

Ich sehe Citrix auch als einzige gangbare Option.
Ob man dies nur per VPN erreichbar macht, würde ich in Frage stellen ...
Lieber über ein Netscaler direkt aus dem Interneg zugreifen lassen.
Muss natürlich nicht zwingend Citrix sein, kann auch jeder andere Service für Terminalsessions sein.

Citrix ist schließlich nicht das günstige Produkt
Visucius
Visucius 05.03.2020 um 09:44:00 Uhr
Goto Top
... und die Sticks lassen sich prima im Büro vorbereiten und erst bei Bedarf aushändigen.
SlainteMhath
SlainteMhath 05.03.2020 um 09:57:58 Uhr
Goto Top
Moin,.

Wäre sowas mit einer Citrix Umgebung darzustellen?
Ja mit Citrix ist das problemlos und sicher möglich. Einen ADC an die WAN Grenze, idealerweise mit MFA, und eine(n) XenApp Server/Farm als "Backend". Das Ganze auf VMWare und du hast eine bombenstabile Plattform für die Anwender, egal von wo aus sie sich anmelden - und das (falls der Browser HTML5 kann) sogar ohne Softwareinstallatin am Client.

lg,
Slainte
Peterz
Peterz 05.03.2020 um 09:59:37 Uhr
Goto Top
Vielen Dank schon mal für die vielen guten Anmerkungen.
Da ja oft Citrix genannt wurde, könnte jemand vielleicht eine Hausnummer an Kosten für ca. 100 Zugänge nennen.
Reden wir über 10.000€ oder 25.000€. Oder vielleicht noch mehr?
Bitboy
Bitboy 05.03.2020 um 10:12:29 Uhr
Goto Top
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Ganzjahresgriller
Ganzjahresgriller 05.03.2020 um 11:11:33 Uhr
Goto Top
Bei so einem Volumen würde ich mich von einem Systemhaus beraten lassen. Da gibt es so viele Frage die zu klären sind wie z. B. Ausfallsicherheit und Redunanz um nur einen Punkt zu nennen. Da kann man nicht mal schnell einen Preis in die Runde werfen.
DerWoWusste
DerWoWusste 05.03.2020 um 11:15:22 Uhr
Goto Top
Du brauchst kein Citrix. RDP ist mittlerweile auch in seiner Normalform so schnell, dass man über Internet wunderbar damit arbeiten kann.
monstermania
monstermania 05.03.2020 um 11:16:29 Uhr
Goto Top
Zitat von @Bitboy:
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Weil man dann auch extrem spontan mal einen Homeoffice-Tag einglegen kann, ohne immer sein Notebook mitschleppen zu müssen.
Dank VoIP-Mobilapp kann ich von zu Hause aus mit meiner Firmennummer telefonieren.
Klaro, bei BYOD muss die Firma die Sicherheit vorgeben und dafür geradestehen. Wir haben auch Mitarbeiter die kürzlich noch mit Windows XP arbeiten wollten! Das funktioniert dann natürlich nicht. Ähnliches wird es jetzt mit Windows 7 geben.
brammer
brammer 05.03.2020 um 11:33:59 Uhr
Goto Top
Hallo,

nicht ganz das was du anfragst ... aber passt gerade zum Thema... Homeoffice in Zeiten von Corona

brammer
Peterz
Peterz 05.03.2020 um 13:08:06 Uhr
Goto Top
Zitat von @DerWoWusste:

Du brauchst kein Citrix. RDP ist mittlerweile auch in seiner Normalform so schnell, dass man über Internet wunderbar damit arbeiten kann.

Bloß wie willst du so eine Zugriff absichern? Man braucht doch einen Gegenstelle, wie bei Citrix den Netscaler.
Inf1d3l
Inf1d3l 05.03.2020 um 13:12:49 Uhr
Goto Top
RDS-Gateway...
DerWoWusste
DerWoWusste 05.03.2020 um 13:37:48 Uhr
Goto Top
Bloß wie willst du so eine Zugriff absichern?
Ja hast Du meinen ersten Kommentar nicht gelesen? Ecos. Sicher und kostentechnisch vertretbar. Setzen wir ein, braucht keine große Mitarbeiterschulung.
Peterz
Peterz 05.03.2020 um 14:26:45 Uhr
Goto Top
Zitat von @Inf1d3l:

RDS-Gateway...
Danke, das schaue ich mal an.


Zitat von @DerWoWusste:
Ja hast Du meinen ersten Kommentar nicht gelesen? Ecos. Sicher und kostentechnisch vertretbar. Setzen wir ein, braucht keine große Mitarbeiterschulung.
Und die Mitarbeiter kommen Zuhause mit dem Booten über einen USB-Stick zurecht?
Herauszufinden, welche F-Taste zum BIOS Bootmenü gehört und diese auch noch im richtigen Moment zu drücken ist für normale Anwender nicht zu kompliziert?
Inf1d3l
Inf1d3l 05.03.2020 um 14:28:35 Uhr
Goto Top
Mit Linux-Sticks bekommst du eventuell ein Lizenzproblem, wenn z.B. Office auf dem Terminalserver benutzt werden soll.
DerWoWusste
DerWoWusste 05.03.2020 aktualisiert um 14:55:03 Uhr
Goto Top
Und die Mitarbeiter kommen Zuhause mit dem Booten über einen USB-Stick zurecht?
Ja. die F-Tasten haben wir tatsächlich als Liste vorliegen für gängige Modelle.

Mit Linux-Sticks bekommst du eventuell ein Lizenzproblem, wenn z.B. Office auf dem Terminalserver benutzt werden soll.
Nein. Für die Office-Lizenzierung spielt der RDP-Client und dessen unterliegendes OS keine Rolle. Auf einem Terminalserver hat man Office per VL zu lizenzieren und das ebenso oft, wie Benutzer auf dem TS rumlaufen. Woher die kommen, ist egal.
(korrigiert, siehe unten)
Inf1d3l
Inf1d3l 05.03.2020 aktualisiert um 14:48:28 Uhr
Goto Top
Bei Office (2016, 2019 VOL) wird der Client (=Computerlizenz) lizensiert und nicht der RDS! Sobald man Office auf einem RDS nutzt, muss es auch 1:1 auf dem Client sein. Anders sieht es eventuell bei Office 365 User-Lizenzen aus.
DerWoWusste
DerWoWusste 05.03.2020 um 14:53:58 Uhr
Goto Top
Bei Office (2016, 2019 VOL) wird der Client (=Computerlizenz) lizensiert und nicht der RDS!
Du hast Recht, es geht ja tatsächlich um Clients, nicht um User!

Ich komme hier gar nicht in Verlegenheit, da sich unsere Nutzer mit Ecos nicht auf einen Server, sondern per RDP auf Ihre eigenen PCs verbinden, auf denen Office installiert ist.
Inf1d3l
Inf1d3l 05.03.2020 um 15:04:45 Uhr
Goto Top
Ja, ob das erlaubt ist... weiß ich nicht. Bei Microsoft ist alles möglich und alles ist kompliziert... ich empfehle ein Lizenzaudit durch einen Experten (welche auch nicht leicht zu finden sind). Beispiel: Office Prof deckt Office Standard nicht ab (in dem Szenario Client+RDS), obwohl höherwertiger.
DerWoWusste
DerWoWusste 05.03.2020 um 15:08:04 Uhr
Goto Top
Ja, ob das erlaubt ist... weiß ich nicht
Du darfst Deinen eigenen PC (als "Hauptnutzer") von Remote bedienen - das ist erlaubt laut EULA.
Dilbert-MD
Dilbert-MD 05.03.2020 um 16:21:46 Uhr
Goto Top
Zitat von @Peterz:
[...] dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann.

Hallo,

ich würd' den Mitarbeitern einen konfigurierten Mini-PC / Net Top o.ä. mit vorinstalliertem VPN-Client mit geben und ein KVM-Switch so dass der MA seine eigene Tastatur, Maus und den Monitor nutzen kann, nach Feierabend dann seinen eigenen PC, ohne umbauen zu müssen

Ggf. auch einen Laptop, aber keine Nutzung privater Hardware, außer wenn die Daten offline bearbeitet werden und per E-Mail wieder in die Firma geschickt werden - sofern das möglich ist.

Zu bedenken ist auch, dass ja einige Mitarbeiter in schlecht erschlossenen Gebieten wohnen können, wo von den 16 MBit/s nur 6 oder weniger ankommen. Dann lässt sich online auch nicht effektiv arbeiten. Hier käme dann der Laptop wieder zum Einsatz, wenn der Mitarbeiter eine Möglchkeit hat, den Arbeitsort nach außerhalb des HomeOffice zu verlegen.
DerWoWusste
DerWoWusste 05.03.2020 um 16:33:18 Uhr
Goto Top
Zu bedenken ist auch, dass ja einige Mitarbeiter in schlecht erschlossenen Gebieten wohnen können, wo von den 16 MBit/s nur 6 oder weniger ankommen. Dann lässt sich online auch nicht effektiv arbeiten.
Es kommt darauf an - wenn Du RDP nutzt, sind 6 MBit/s schon mehr als genug. Ich bin mir sicher, dass weniger als 1 MBit/s schon reicht, um normale Arbeiten wie Office zu erledigen. Ja, wir haben damit Erfahrung und haben das nachgemessen.
aqui
aqui 05.03.2020 aktualisiert um 18:39:14 Uhr
Goto Top
Wie könnte so etwas ganz grob aussehen?
Mit Bordmitteln: Firewall, VPN und fertig ist der Lack. Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
RDP natürlich nicht zu vergessen wie oben schon gesagt face-wink
Mit einer Citrix Lösung (teurer) ginge das auch ohne VPN da Citrix Terminal Server SSL verschlüsselt sind.
tech-flare
tech-flare 05.03.2020 um 21:21:30 Uhr
Goto Top
Also wir haben für über 200 User Terminalserver mit Office 365 E5.

Das wird pro User lizenziert und ist somit bei rds sauber. Hatte erst 2019 ein problemloses LizenzAudit von MS.

Dann entweder Klassisch OpenVPN+RDP, oder eine UTM mit HTML5 Portal oder ab Server 2019 das rds Gateway mit HTML 5 Client welcher mit SSL läuft. Fertig
GNULinux
GNULinux 06.03.2020 aktualisiert um 18:06:33 Uhr
Goto Top
Zitat von @Peterz:
Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.
...
Wäre sowas mit einer Citrix Umgebung darzustellen?

Wenn du darüber ernsthaft nachdenkst, scheint dir das nicht nur "erst mal" egal zu sein:

https://www.theregister.co.uk/2020/02/05/cisco_cdpwn_flaws/
https://srcincite.io/blog/2020/01/14/busting-ciscos-beans-hardcoding-you ...
https://www.cisco.com/c/en/us/support/docs/field-notices/704/fn70489.htm ...
https://www.heise.de/-4322363
https://www.heise.de/-4208546
https://webexec.org/
https://www.heise.de/-4184517

Und das ist nur, was ich grade auf die schnelle finde. Da gibts noch mehr. Sicherheit und Citrix passt so gut zusammen wie Microsoft und günstig ;)
Dani
Dani 06.03.2020 um 22:53:43 Uhr
Goto Top
Moin,
Reden wir über 10.000€ oder 25.000€. Oder vielleicht noch mehr?
das lässt sich schwer sagen. Das hängt davon ab, was du
a) an Hardware schon hast und noch kaufen musst
b) an Microsoft Lizenzen du noch kaufen musst
c) an Know How im Haus oder über IT-Dienstleister einkaufen musst
d) 2 Faktor Authentifizierung haben möchtest
e) Firewall/WAF mit entsprechend IDS/IPS hast
f) eine breitbandige und stabile Internetleitung hast.

Je nachdem kannst du ganz schnell auch bei 50.000,00€ sein.

@Bitboy
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Die meisten wollen keinen 2. Rechner oder ein Notebook haben, weil es Platz wegnimmt und bei Problemen in die Firma geschleppt werden muss. Wir haben einige Kollegen, die einen Zeroclient zu Hause haben. Der Rest nutzt ihre privaten Geräte.

Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Was sollte schief gehen?


Gruß,
Dani
Inf1d3l
Inf1d3l 08.03.2020 um 15:16:02 Uhr
Goto Top
Zitat von @DerWoWusste:

Ja, ob das erlaubt ist... weiß ich nicht
Du darfst Deinen eigenen PC (als "Hauptnutzer") von Remote bedienen - das ist erlaubt laut EULA.

Beinhaltet das auch das VOL-Office? Selbe Konstellation... egal. Wo kriegt man die ECOS-Sticks? Bzw. wie teuer sind die? Finde irgendwie nix... face-sad
DerWoWusste
DerWoWusste 08.03.2020 um 16:43:33 Uhr
Goto Top
Du darfst deinen wWindows-PC fernsteuern, egal welche Software du laufen lässt.
Auf der Website von Ecos kannst du Teststicks kostenlos bekommen.

Preise für BSI zugelassene Sticks liegen bei ca 500€, wobei die noch ein Backend (Genuscreen) benötigen, was deutlich mehr kostet. Sicherheit hat ihnen Preis, zugelassene erst recht.