rostigernagel
Goto Top

Sicherheit VPN Verbindung

Hallo zusammen,
wie seht ihr die Sicherheit in folgendem Szenario.

Ein User will einen Heimarbeitsplatz betreiben.
Im Firmennetzwerk steht ein VPN Server.
Die Verbindung wird mit einer Nortel VPN Software hergestellt.

Der User steckt sich zuhause über sein DSL Heimnetzwerk an und verbindet sich mit dem Firmennetzwerk.

Hier sehe ich kein Sicherheitsproblem.

Aber nun meine Frage:
Der user bekommt von seinem Router eine IP zugewiesen. zB 192.168.178.x
Dann wird die VPN verbindung aufgebaut.
die VPN Software ändert dann das Standardgateway und aller ip verkehr geht über den Tunnel.

Aber inwieweit ist der Rechner dann noch über das lokale Netzwerk angreifbar? 192.168.178.x

Seht ihr hier ein Risiko wenn sich zB jemand aus dem Heimnetz auf den Rechner Zugriff verschaffen will. Wie auch immer dieser zugriff ausieht.
Ist der Rechner überhaupt noch im Heimnetz sichtbar wenn die VPN Verbindung steht?

Content-ID: 297962

Url: https://administrator.de/contentid/297962

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

Skully
Lösung Skully 02.03.2016, aktualisiert am 03.03.2016 um 09:06:01 Uhr
Goto Top
Hi rostigernagel,

Du solltest dir vielleicht eher über die Endpunkt Sicherheit Gedanken machen.
Sprich Virenschutz, Firewall, Updates, Systemhärtung, etc. des entsprechenden Client Systems.
Dann hast Du auch keine Probleme mit möglichen Angriffen.

Grüße
whezzl
maretz
Lösung maretz 02.03.2016, aktualisiert am 03.03.2016 um 09:05:59 Uhr
Goto Top
Moin,

diese Frage ist nicht global zu beantworten. Mein Mac macht beispielsweise nur neue Verbindungen zu - bestehende Verbindungen bleiben aber auch nach dem VPN-Aufbau bestehen. Nehmen wir also an ich würde mir eine Verbindung per SSH-Tunnel zu einem Proxy aufbauen und danach das VPN starten -> schon hätte ich beide Welten (brauche ich nicht, da surfen auch mit VPN geht - aber fürs Gedankenspiel ganz lustig). Meine Verbindung zum Proxy ist nur auf localhost - somit problemlos möglich, die Verbindung zum Server geht auch problemlos. Im System nen Proxy eintragen "127.0.0.1:3128" ist auch kein Ding. Somit hast du deine VPN-Verbindung UND das Internet gleichzeitig...

Andersrum sollte man sich als Admin immer bewusst sein das der Anwender einen Weg findet wenn er will. Es ist also immer die Frage wieviel Komfort will ich anbieten und wieviel Sicherheit opfern...
Skully
Lösung Skully 02.03.2016, aktualisiert am 03.03.2016 um 09:05:58 Uhr
Goto Top
*kopfkratz*
rostigernagel
rostigernagel 02.03.2016 um 22:57:38 Uhr
Goto Top
Danke für die Antworten.

Der Client ist gut geschützt. Der normale user hat auch keine Adminrechte und kann eigentlich nichts anstellen.
Firewall, Udates und virenschutz sind gewärleistet.
Ich denke auch das ich mir dann keine Gedanken machen brauche.
Pjordorf
Lösung Pjordorf 03.03.2016 aktualisiert um 09:05:46 Uhr
Goto Top
Hallo,

Zitat von @rostigernagel:
Der Client ist gut geschützt. Der normale user hat auch keine Adminrechte und kann eigentlich nichts anstellen.
Firewall, Udates und virenschutz sind gewärleistet.
Ich denke auch das ich mir dann keine Gedanken machen brauche.
Und wie ist es wenn der Heimanwender sich z.B. Locky besorgt und über deine VPN Verbindung munter auf allen Freigaben anfängt, oder dir etwas anderes über deine VPN Verbindung überträgt? VPN ist ja nur eine etwas andere und meistens langsamere LAN Verbindung. Nur das du selbst den Endpunkt (hier Heimanwender) nicht beherschen darfst, oder sind das eure Geräte? BYOD lässt grüßen....

Gedanke würde ich mir schon machen - du hast keinerlei Kontrolle wer oder was an diesen Endpunkten getrieben wird....

Gruß,
Peter
rostigernagel
rostigernagel 03.03.2016 um 10:37:45 Uhr
Goto Top
Die Clients gehören der Firma. Der Anwender hat keine Rechte Software zu installieren.
Und keine Rechte die Netzwerkeinstellungen zu verändern. Der User meldet sich immer an einer Domäne an.
Er hat keine Rechte sich lokal anzumelden.
Mir ging es bei meiner Frage nicht darum ob der User etwas anstellen kan.
Sondern darum ob Dritte die sich Zugang zum Heimnetzwerk verschafft haben eine Möglichkeit haben, Schaden am Client anzurichten
obwohl dieser über VPN über sein Heimnetzwerk zum Firmennetzwerk hat.

Es ist ja auch so das ich als Admin keinen Einfluß hat das Heimnetzwerk habe. In diesem Heimnetzwerk hängen ja mit Sicherheit auch andere
Clients. zB von den Kindern. Und wenn ich an meinen Sohn denke.. Der macht sich auch keine Gedanken um Sicherheit im Internet.
Da wird fleißig runtergeladen. Was auch immer. grrrrrrr.

Ich hoffe das mein Ansatz nun verständlicher ist

VG R.
Pjordorf
Pjordorf 03.03.2016 um 10:54:21 Uhr
Goto Top
Hallo,

Zitat von @rostigernagel:
Der Anwender hat keine Rechte Software zu installieren. Und keine Rechte die Netzwerkeinstellungen zu verändern. Der User meldet sich immer an einer Domäne an.
Hindert das? Der Rechner steht bei ihm Was hindert ihn das LAN Kabel / WLAN abzuknipsen und sich an der Domäne anzumelden (Zwischengespeicherte Anmeldedaten)? Nichts.

Er hat keine Rechte sich lokal anzumelden.
Stört auch nicht, Einfach ein anderes OS und er ist drin....

Mir ging es bei meiner Frage nicht darum ob der User etwas anstellen kan.
Hier ist Vertrauen gefragt.

Sondern darum ob Dritte die sich Zugang zum Heimnetzwerk verschafft haben eine Möglichkeit haben, Schaden am Client anzurichten
Haben diese Zugriff auf den Rechner (Anfassen und so)? dann ja, je nach Aufwand und Sachkenntnissen usw.

obwohl dieser über VPN
Geschieht dies Vor der Anmeldung schon oder erst nachdem der Benutzer sich am PC angemeldet hat?

Es ist ja auch so das ich als Admin keinen Einfluß hat das Heimnetzwerk habe
Richtig.

In diesem Heimnetzwerk hängen ja mit Sicherheit auch andere Clients. zB von den Kindern.
Sobald der Rechner (eurer) sich einschaltet wird der nur ins VPN zugelassen, ob Angemeldet oder nicht und alles was von dort kommt wird geprüft. Kein VPN Netz - kein Anmelden.

Nur mal so als Anregungen.

Gruß,
Peter
aqui
aqui 03.03.2016 aktualisiert um 11:53:06 Uhr
Goto Top
Da wird fleißig runtergeladen. Was auch immer. grrrrrrr.
Es obliegt ja dir ihn über Gefahren und Nachteile aufzuklären und ihn zu diesen Themen fit zu machen. Mal ganz abgesehen davon das Familienangehörige Company Resourcen nutzen was an sich ja schon ein NoGo ist.
Dilbert-MD
Dilbert-MD 03.03.2016 um 13:22:23 Uhr
Goto Top
Hallo,

sofern das Vertrauen in den Mitarbeiter und das Problembewusstsein über mögliche Schäden auf Firmengeräten und an Firmendaten gegeben ist wäre zum Beispiel noch eine Schutzmaßnahme im heimischen Netz vor "internen Angriffen" das VLAN.
Dazu müsste dem Heimarbeiter ein VLAN-fähiger vorkonfigurierter Switch mitgegeben werden und der Heimarbeiter müsste aufgefordert (ggf. schriftlich) werden, seinen Heimarbeitsplatz nur über die ihm zugewiesenen VLAN-Ports anzuschließen. Dann haben zumindest die anderen Geräte im Heimnetz keinen Verbindungsmöglichkeit.

Zugriffe auf das Gerät mittels Schraubendreher & Co. oder über Bootmedien bleiben weiterhin ein Risiko.

Gruß
Holger