Security VPN Endpunkte
Aloa in die Runde,
mal zum Start für mich in diese Thematik aus Interesse ein paar Fragen.
Bisher noch kein VPN ToDo auf dem Tisch gehabt.
Soweit ich das richtig verstanden habe:
Auf dem Standort A wird VPN eingerichtet als Ziel konfiguriert und auf dem fernen Standort B(z.B. Laptop mit dynamischer IP) der auf A zugreifen soll wird die Konfiguration so eingestellt das er auf A verbinden kann. Adresse, Port und Passwort und fertig. Wenn dieser "Standort A"-seitig den VPN Server erreicht alles super alles schick.
In dem Szenario ist Standort A immer im Netz erreichbar.
Welche Möglichkeiten habe ich nun nur bestimmte Geräte die VPN Verbindung aufbauen zu lassen?
Nimmt man dafür OTP Token?
Gibt es Szenarien wie man trotz aus dem Netz erreichbarem VPN Server einem DDOS oder anderen Angriffen vorbeugen kann?
So das man quasi einfach seine ruhige verschlüsselte Wartungsleitung zum Standort A hat.
VG
mal zum Start für mich in diese Thematik aus Interesse ein paar Fragen.
Bisher noch kein VPN ToDo auf dem Tisch gehabt.
Soweit ich das richtig verstanden habe:
Auf dem Standort A wird VPN eingerichtet als Ziel konfiguriert und auf dem fernen Standort B(z.B. Laptop mit dynamischer IP) der auf A zugreifen soll wird die Konfiguration so eingestellt das er auf A verbinden kann. Adresse, Port und Passwort und fertig. Wenn dieser "Standort A"-seitig den VPN Server erreicht alles super alles schick.
In dem Szenario ist Standort A immer im Netz erreichbar.
Welche Möglichkeiten habe ich nun nur bestimmte Geräte die VPN Verbindung aufbauen zu lassen?
Nimmt man dafür OTP Token?
Gibt es Szenarien wie man trotz aus dem Netz erreichbarem VPN Server einem DDOS oder anderen Angriffen vorbeugen kann?
So das man quasi einfach seine ruhige verschlüsselte Wartungsleitung zum Standort A hat.
VG
Please also mark the comments that contributed to the solution of the article
Content-ID: 444275
Url: https://administrator.de/contentid/444275
Printed on: December 14, 2024 at 02:12 o'clock
3 Comments
Latest comment
Ein Aloha retour...
Dir geht es scheinbar rein nur um ein Dialin VPN wenn man es richtig versteht und dann stimmen alle deine Annahmen ! Guckst du auch hier als Beispiel:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Sicherer wären Client Zertifikate die du auf den Endgeräten installierst. Damit hast du immer eine feste Geräte Bindung.
Wenn der Server selber angegriffen wird geht natürlich auch die VPN Leitung in die Knie. Aber so gut wie immer ist der VPN Server eine Firewall (oder sollte es zumindestens sein !). Gute Firewalls haben aber bestimmte Mechanismen DDoS Attacken zu minimieren. Außerdem lassen sie nur die VPN Ports von außen zu, bieten also per se schon einmal wenig bis keine Angriffsfläche für solche Attacken. Es kommt eben auf die HW an wie immer...
Soweit ich das richtig verstanden habe:
So grob ist das richtig. Es gibt generell 2 Arten von VPNs, nämlich Site-to-Site VPNs (Standort VPN) und Client-Server VPNs (Roadwarrior).Dir geht es scheinbar rein nur um ein Dialin VPN wenn man es richtig versteht und dann stimmen alle deine Annahmen ! Guckst du auch hier als Beispiel:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Welche Möglichkeiten habe ich nun nur bestimmte Geräte die VPN Verbindung aufbauen zu lassen?
Das kannst du z.B. mit deinem OTP Token Tool regeln, allerdings kann derjenige das Token Tool auch weitergeben.Sicherer wären Client Zertifikate die du auf den Endgeräten installierst. Damit hast du immer eine feste Geräte Bindung.
einem DDOS oder anderen Angriffen vorbeugen kann?
DDoS Angriff auf was ?? Den VPN Server ? Den Client ?Wenn der Server selber angegriffen wird geht natürlich auch die VPN Leitung in die Knie. Aber so gut wie immer ist der VPN Server eine Firewall (oder sollte es zumindestens sein !). Gute Firewalls haben aber bestimmte Mechanismen DDoS Attacken zu minimieren. Außerdem lassen sie nur die VPN Ports von außen zu, bieten also per se schon einmal wenig bis keine Angriffsfläche für solche Attacken. Es kommt eben auf die HW an wie immer...
Aber von der Sache her werden alle Anfragen zur FW geleitet und erst dort wird verworfen wenn nicht erlaubt.
Nein, nicht unbedingt !Das hängt von deiner VPN Konfig ab ob du ein Gateway Redirect machst über den Tunnel (also allen Traffic in den Tunnel) oder explizit nur die IP Netze in den Tunnel routest auf die du remote Zugreifen willst. (Split Tunneling). Siehe Tutorial.
Die Firewall filtert bzw. prüft dann nur das was bei ihr ankommt. Klar, denn filtertechnisch hat sie ja keinerlei Zugriff auf den Client
Bei Split Tunneling schickt der Client aber auch nur das in den Tunnel nicht den gesamten Traffic. Alles andere geht dann lokal über seinen Internet Zugang raus und wird dann über die lokale Client Firewall oder, sofern vorhanden, die lokale HW Firewall/NAT Router vor Ort.