29
Projekt Firewall
Moin Leute,
kurz zu beginn, ich bin kein Firewall-Profi, ich weis was das Ding macht, kann grundlegend Ports freigeben, aber dat wars dann schon.
Wir benutzen derzeit bei all unseren Außenstellen eine Firewall, soweit so gut, soll auch so sein, die Dinger kommen via Side2Side zu uns, und dann läuft der Krempel (Serververbindungen, Citrix, Fileaustausch, Drucker usw...)
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
Meine Bedenken, Gerät wird geklaut, der/die/das Böse kommt ins Gerät, knackt das File und zack ist im Netzwerk, blöde Sache...
Ich kenn es von meiner alten Firma dass sich der User via LDAP gegenüber der Firewall authentifiziert mit Username+Password , und dann über die entsprechende Gruppe im AD den gewissen Netzwerkverkehr freigegeben bekommt, denn Person A muss nicht ins NW-Segment C und Person X braucht nicht ins Segment B, so konnten wir auch relativ locker die Externen steuern, und wenn der Auftrag fertig war den User abgedreht und gut war es...
Meine Frage, ist dieses vorgehen noch State of the Art? Die Sache mit dem File ist mir zu unsicher, und sicherlich keine optimale Lösung, deswegen mach ich mir so meine Gedanken ob wir dies mit Hilfe unseren Externen Betreuers ablösen sollten.
Wir haben ca. 10 Außenstellen, und über die Gesamte Institution verteilt ca. 30 VPN-User, wobei wir mehr als 200 User haben.
Ich hoffe es kann aus meiner doch "etwas stümperhaften" Beschreibung der ein oder andere mein Begehren eruieren
Grüße
kurz zu beginn, ich bin kein Firewall-Profi, ich weis was das Ding macht, kann grundlegend Ports freigeben, aber dat wars dann schon.
Wir benutzen derzeit bei all unseren Außenstellen eine Firewall, soweit so gut, soll auch so sein, die Dinger kommen via Side2Side zu uns, und dann läuft der Krempel (Serververbindungen, Citrix, Fileaustausch, Drucker usw...)
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
Meine Bedenken, Gerät wird geklaut, der/die/das Böse kommt ins Gerät, knackt das File und zack ist im Netzwerk, blöde Sache...
Ich kenn es von meiner alten Firma dass sich der User via LDAP gegenüber der Firewall authentifiziert mit Username+Password , und dann über die entsprechende Gruppe im AD den gewissen Netzwerkverkehr freigegeben bekommt, denn Person A muss nicht ins NW-Segment C und Person X braucht nicht ins Segment B, so konnten wir auch relativ locker die Externen steuern, und wenn der Auftrag fertig war den User abgedreht und gut war es...
Meine Frage, ist dieses vorgehen noch State of the Art? Die Sache mit dem File ist mir zu unsicher, und sicherlich keine optimale Lösung, deswegen mach ich mir so meine Gedanken ob wir dies mit Hilfe unseren Externen Betreuers ablösen sollten.
Wir haben ca. 10 Außenstellen, und über die Gesamte Institution verteilt ca. 30 VPN-User, wobei wir mehr als 200 User haben.
Ich hoffe es kann aus meiner doch "etwas stümperhaften" Beschreibung der ein oder andere mein Begehren eruieren
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 73346363531
Url: https://administrator.de/contentid/73346363531
Printed on: April 28, 2024 at 15:04 o'clock
29 Comments
Latest comment
Was auch immer dieses File ist!
Direct Access bzw Allways On VPN kennst Du? Smartcards hast Du schon mal gehört?
Direct Access bzw Allways On VPN kennst Du? Smartcards hast Du schon mal gehört?
Zitat von @8585324113:
Was auch immer dieses File ist!
Was auch immer dieses File ist!
Dieses File wird seitens Firewall zur Authentifizierung benötigt, ohne dem File baut der VPN-Client keine Verbindung auf
Direct Access bzw Allways On VPN kennst Du? Smartcards hast Du schon mal gehört?
Direct Access sagt mir was, Smartcard ist mir ein Begriff
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Zitat von @8585324113:
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
kurzum:
Jedes Gerät mit dem File kann den VPN-Client öffnen und sich gegenüber unserer Infra authentifizieren und ist im Netzwerk... wenns nicht eindeutig daraus hervorgeht dann frag direkt nach...
Moin,
was steht denn in dem File drin?
Zertifikat? Useranmeldedaten?
Grundsätzlich sollte jede halbwegs moderne Firewall eine gescheite Userauth anbieten.
Gruß
Looser
was steht denn in dem File drin?
Zertifikat? Useranmeldedaten?
Grundsätzlich sollte jede halbwegs moderne Firewall eine gescheite Userauth anbieten.
Gruß
Looser
Zitat von @MrHeisenberg:
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
kurzum:
Jedes Gerät mit dem File kann den VPN-Client öffnen und sich gegenüber unserer Infra authentifizieren und ist im Netzwerk... wenns nicht eindeutig daraus hervorgeht dann frag direkt nach...
Zitat von @8585324113:
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
kurzum:
Jedes Gerät mit dem File kann den VPN-Client öffnen und sich gegenüber unserer Infra authentifizieren und ist im Netzwerk... wenns nicht eindeutig daraus hervorgeht dann frag direkt nach...
Du sprichst in Rätseln.
Welcher Hersteller nennt welches Feature so?
Im Prinzip ja, die genaue Ausgestaltung ist Geschmackssache. Es gibt verschiedene Ansätze:
- LDAP-Authentifizierung mit unterschiedliche Client-IP-Pools für die gemappten Gruppen, wie du das beschreibst.
- RADIUS-Authentifizierung mit Zuweisung in IP-Pools durch den RADIUS-Server anhand der Gruppe.
- RADIUS-Authentifizierung mit Zuweisung der Client-IPs aus dem AD.
- Die jeweiligen herstellerspezifischen AD-Integrationen.
In solch kleinen Umgebungen bevorzuge ich grundsätzlich die dritte Variante. Die Nutzer können über die API der Firewall direkt als Adressobjekte verfügbar gemacht werden, sodass eine nutzergranulare Berechtigungssteuerung ohne weitere Software des FW-Herstellers möglich ist. Die Rahmenbedingungen für Forensik sind üblicherweise schwierig, sodass die statische Verknüpfung eines Nutzers mit einer IP gegenüber jedem Pooling eine deutliche Erleichterung darstellt.
Auch die leichte Integration von MFA (wieder unabhängig vom FW-Hersteller, z.B. Azure MFA auf einem NPS) wiegen meines Erachtens die Nachteile von RADIUS ggü. LDAP auf.
Je nach Funktionsumfang der Firewall, Lizenzpolitik des Herstellers und Strategie (Entra ID ja/nein) ergeben sich aber natürlich ganz unterschiedliche Entscheidungswege.
Die jetzige wahrscheinlich Zertifikats-basierte Authentifizierung könnte mit Smartcards bzw. virtuellen Smartcards geradegezogen werden, was aber in der Regel etwas komplexer ist als MFA. Allein Nutzername/Passwort ist heute nicht mehr akzeptabel.
Grüße
Richard
1
So:
Unsere VPN User haben auf Ihren Geräten einen VPN-Client vom Hersteller unserer Firewall
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
Der Client wurde von uns in der IT auf die Geräte installiert, der VPN User hat dann das File bekommen um sich mit dem VPN Client in unser Netzwerk zu verbinden, sprich dient dieses File als Schlüssel für unser Netzwerk.
Der VPN-User geht im Client nur mehr auf Connect, gibt ein von Ihm gewähltes Passwort ein und der Client verbindet sich.
Es passiert sonnst kein Abgleich. Keine LDAP Abfrage nach Benutzer & Passwort beim verbinden mit der VPN
Unsere VPN User haben auf Ihren Geräten einen VPN-Client vom Hersteller unserer Firewall
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
Der Client wurde von uns in der IT auf die Geräte installiert, der VPN User hat dann das File bekommen um sich mit dem VPN Client in unser Netzwerk zu verbinden, sprich dient dieses File als Schlüssel für unser Netzwerk.
Der VPN-User geht im Client nur mehr auf Connect, gibt ein von Ihm gewähltes Passwort ein und der Client verbindet sich.
Es passiert sonnst kein Abgleich. Keine LDAP Abfrage nach Benutzer & Passwort beim verbinden mit der VPN
Kannst du dieses ominöse File, der geheimen Brandmauer kreuztauschen mit anderen Clients? Oder gar einem fremdem System das drauf kopieren, der nicht zur Domain oder so gehört?
Zitat von @MrHeisenberg:
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.
Moin
Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.
Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.
Gruß
Spirit
Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.
Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.
Gruß
Spirit
Zitat von @c.r.s.:
Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.
Zitat von @MrHeisenberg:
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.
Mir fallen da sofort zwei Lösungen ein womit genau das vom TO beschriebene Verhalten möglich ist. Sicher geht das auch noch mit mehreren Herstellern.
Sophos und Barracuda lassen sich so konfigurieren.
Zitat von @Spirit-of-Eli:
Moin
Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.
Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.
Moin
Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.
Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.
Ob dies Barracuda kann, kann ich leider nicht beurteilen, nur für solch eine Umsetzung benötige unseren externen DL, und der kostet... mir wäre nur wichtig in welche Richtung am besten wäre, das File würde ich gerne zügig ablösen, da es aus meiner Sicht ein Sicherheitsrisiko darstellt, und ich es nicht zentral abdrehen kann wenn das Laptop geklaut wurde... weil ich keinen Admin-Zugang zu den FW habe.... und mir auch das Fachwissen dazu fehlt.
Grüße
Gruß
Spirit
Spirit
Wie gesagt, das ist kein Hexenwerk. Die FW per LDAP an die DCs koppeln und die Auth dann am VPN nutzen. Fertig. Beachte, das du eine AD-Sicherheitsgruppe mit allen User pflegen solltest, welche den VPN Zugang nutzen sollen.
Da kannst du auch etwas herum spielen und ein Test Profil anlegen. Wenn du den Hersteller nennst, liefer ich dir wahrscheinlich sogar eine Anleitung frei haus.
Solltest du es nicht testen wollen, so brauchen wir dir hier auch nicht mehr Infos liefern und du kannst du dich besser direkt an deinen DL wenden welcher es ja nun auch umsetzen soll/wird.
Da kannst du auch etwas herum spielen und ein Test Profil anlegen. Wenn du den Hersteller nennst, liefer ich dir wahrscheinlich sogar eine Anleitung frei haus.
Solltest du es nicht testen wollen, so brauchen wir dir hier auch nicht mehr Infos liefern und du kannst du dich besser direkt an deinen DL wenden welcher es ja nun auch umsetzen soll/wird.
1
Hallo,
um das File wirst du nicht herum kommen.
Hier sind nicht die Zugangsdaten des User hinterlegt, sondern die Konfiguration des Tunnels.
So kenne ich das jedenfalls von meiner Sophos.
Wie der User sich nun gegen die FW authentifiziert, muss auf der FW eingerichtet werden: zB gegen AD oder lokale User-DB mit Name und PW oder 2Faktor.
Jürgen
um das File wirst du nicht herum kommen.
Hier sind nicht die Zugangsdaten des User hinterlegt, sondern die Konfiguration des Tunnels.
So kenne ich das jedenfalls von meiner Sophos.
Wie der User sich nun gegen die FW authentifiziert, muss auf der FW eingerichtet werden: zB gegen AD oder lokale User-DB mit Name und PW oder 2Faktor.
Jürgen
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Was für ne Kindergartendiskussion!
Ich hab was,
ich sag nicht was,
weiß auch nicht wie es funktioniert,
weil ich zahle jemanden weil er es besser weiß,
glaube aber trotzdem es ist unsicher,
habe auch keine Ahnung
und keine Rechte
aber gib mir bitte ne potentielle Lösung
Ich hab was,
ich sag nicht was,
weiß auch nicht wie es funktioniert,
weil ich zahle jemanden weil er es besser weiß,
glaube aber trotzdem es ist unsicher,
habe auch keine Ahnung
und keine Rechte
aber gib mir bitte ne potentielle Lösung
5
Zitat von @Visucius:
...Wunderbar klar formuliert. Danke.
Die eigentliche Frage des TO
ist dieses vorgehen noch State of the Art?
ist zudem längst klar beantwortet und im deutlich begrenzten Handlungsspielraum des TO ist auch klar, was zu tun ist.Weitergehende Erörterungen sind ersichtlich sinnfrei.
Viele Grüße, commodity
1
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @Ex0r2k16:
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Bist Du etwas übermüdet?
Ich sehe was was du nicht siehst, und das ist ... eine Lösung die ich dir nicht verrate, weil der Freitag naht 🤪
1Zitat von @8585324113:
Bist Du etwas übermüdet?
Zitat von @Ex0r2k16:
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Bist Du etwas übermüdet?
ne - du?
Zitat von @Ex0r2k16:
ne - du?
Zitat von @8585324113:
Bist Du etwas übermüdet?
Zitat von @Ex0r2k16:
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Bist Du etwas übermüdet?
ne - du?
Dann Frage ich mich, wann bei dir die Uhr stehenblieb.
Hey, gleich eskaliert das hier wieder. Das ist auch nicht Ziel führend.
Liebe Leute welche sich wieder Sinnfrei aufregen, der Hersteller wurde genannt!
Wer lesen will ist klar im Vorteil, ich habe einige Ansätze erhalten und im Postfach 3 neue Consulter was wir eine neue FW andrehen wollen...
um hier was klar zu stellen:
Ich erwarte keine Lösung, sondern NUR einen IMPUT ob mein Gedankengang falsch ist oder nicht mit dem AD-Abgleich! Wenn nicht evtl. einen Vorschlag wie dies sonnst gemacht werden könnte, da mir hier KnowHow fehlt!
Jeder der über alles 100% bescheid weis möge den ersten Switch werfen!
Junge Junge....
Unser DL ist Gewinnoptimiert, und je genauer ich die Umsetzung angebe, bzw. die Umsetzung am AD usw. vorarbeite desto besser für unser Budget....
Also was hier wieder die flucherei von mancher soll entzieht sich meiner Kenntnis, @Spirit-of-Eli , @chiefteddy , @c.r.s thx für euren Imput
OT: Wer schreiben kann, ist noch mehr im Vorteil. Du könntest Dir zumindest die Zeit nehmen, und Deine Textergüsse vor dem Posten selber zu lesen und dann zu korrigieren.
1Zitat von @pasu69:
OT: Wer schreiben kann, ist noch mehr im Vorteil. Du könntest Dir zumindest die Zeit nehmen, und Deine Textergüsse vor dem Posten selber zu lesen und dann zu korrigieren.
OT: Wer schreiben kann, ist noch mehr im Vorteil. Du könntest Dir zumindest die Zeit nehmen, und Deine Textergüsse vor dem Posten selber zu lesen und dann zu korrigieren.
OT: hauptsache einen Kommentar hinterlassen 🤦♀️
Moin,
https://campus.barracuda.com/product/cloudgenfirewall/doc/86540727/how-t ...
Unterstützt wird die Berechtigung über eine LDAP Gruppe was ich für wichtig halte. Zum anderen können die Zugänge über SSLVPN und/oder TINA Tunnel per TOTP gesichert werden. Ist vermutlich eine Sache von 1-2 Tagen. Je nach Wissen und Testmöglichkeiten.
Gruß,
Dani
Meine Frage, ist dieses vorgehen noch State of the Art?
Kann man nach wie vor problemlos nutzen. Allerdings nicht mehr ohne 2 FA. Die einen nutzen eine App, die anderen nutzen Azure, wir nutzen Hardware Tokens. Hängt von den Anforderungen und Wünsch ab.Ob dies Barracuda kann, kann ich leider nicht beurteilen,
Grundsätzlich kann die Barracuda NG Firewall dir da was bieten:https://campus.barracuda.com/product/cloudgenfirewall/doc/86540727/how-t ...
Unterstützt wird die Berechtigung über eine LDAP Gruppe was ich für wichtig halte. Zum anderen können die Zugänge über SSLVPN und/oder TINA Tunnel per TOTP gesichert werden. Ist vermutlich eine Sache von 1-2 Tagen. Je nach Wissen und Testmöglichkeiten.
Gruß,
Dani
Die Barracuda bietet da gut 10 verschiedene Optionen.
Ein Blick ins Manual unter LocalvAuthentication zeigt dir alle Optionen auf.
Ein Blick ins Manual unter LocalvAuthentication zeigt dir alle Optionen auf.
