inf1d3l
Goto Top

Site-To-Site VPN und HomeOffice

Hallo,

würde die folgende Konstellation Sinn machen oder ist es kompletter Unsinn bzw. würde es überhaupt funktionieren? Zurzeit haben wir Laptops mit einem VPN-Client drauf und sie dürfen nur Remote-Desktop.

Zweck:
- Isolierung des Laptops vom privaten Netz
- komplette Integration des Laptops in das Firmennetz inkl. Telefonie über Laptop+Headset
- kein VPN-Client auf dem Laptop notwendig
- kein Terminal-Server notwendig

Auf der Firmenseite kommen Watchguard, Lancom oder Fortinet zum Einsatz. Was würde als "Blackbox" in Frage kommen? Wie könnte man diese warten? Welche Lösungen habt ihr im Einsatz? Vorzugsweise aus dem Enterprise-Bereich.

Vielen Dank im Voraus!
bildschirmfoto vom 2020-09-21 20-33-48

Content-Key: 606560

Url: https://administrator.de/contentid/606560

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: the-buccaneer
the-buccaneer 21.09.2020 um 21:30:41 Uhr
Goto Top
Moin Luci!

Hab ich so im Einsatz. Kannste machen. Home-Officeseite eine FB hinter Providerrouter die per DHCP ihre WAN-Adresse von dort bezieht. Firmenseite ne PfSense. Feste IP. Home-Seite DynDNS.
Anbindung eines IP-Telefons über VPN an die Telefonanlage problemlos.

Ob dir auf der Home-Seite ne FB reicht oder nicht entscheidet sich am Durchsatz. Aber da hat AVM (angeblich) gerade ordentlich nachgelegt.

Ich komme mit der ollen 7430 und AES-128 auf 8-10 MBit. Hier ausreichend.

VG
Buc

e mare libertas
Mitglied: erikro
erikro 21.09.2020 aktualisiert um 22:13:25 Uhr
Goto Top
Moin,

Zitat von @Inf1d3l:
würde die folgende Konstellation Sinn machen oder ist es kompletter Unsinn bzw. würde es überhaupt funktionieren? Zurzeit haben wir Laptops mit einem VPN-Client drauf und sie dürfen nur Remote-Desktop.

Funktionieren würde das sicherlich. Aaaaaaber: Du hast eine Routerkaskade und, das ist ihmo das entscheidende Argument gegen diese Lösung, niemand hindert Deinen User daran, dass er nicht auch ein privates Gerät mit dem Router der Firma verbindet. Klar, Du kannst es mit MAC-Filtern probieren. Aber das hindert einen 14jährigen heute nicht mehr daran, diese Sperre zu umgehen. MAC-Spoofing ist Pipifax. Die bisherige Lösung ist imho besser.

Zweck:
- Isolierung des Laptops vom privaten Netz

Geht mit jedem besseren VPN-Client, wenn man ihn richtig einstellt. Man muss halt allen Traffic durch den Tunnel schicken.

- komplette Integration des Laptops in das Firmennetz inkl. Telefonie über Laptop+Headset

Auch das geht mit jedem VPN-Client, wenn die Leitungen schnell genug sind. Einer der ganz wenigen Vorteile von VoIP. Allerdings würde ich, wenn das viele User sind und das längerfristig angelegt ist, über eine Cloudlösung nachdenken.

- kein VPN-Client auf dem Laptop notwendig

Warum nicht? Was ist dagegen einzuwenden?

- kein Terminal-Server notwendig

Hä? Sollen die User dann alle Software, die bisher auf dem TS war, auf den Laptop kriegen? Vor allem: Wenn sie auf dem Terminalserver arbeiten und, sagen wir mal, eine Datei mit 100MB öffnen, dann geschieht das im schnellen Firmennetz. Der Fileserver, der mit 10Gbit angebunden ist, schickt das an den TS, der auch über eine 10Gbit-Leitung verfügt. Schwupps, die Datei ist auf. Öffnet er sie auf dem Laptop, dann müssen die ganzen 100MB erst verschlüsselt, dann in z. B. IPsec-Pakete verpackt werden, um dann durch das rasend schnelle Internet zu tröpfeln. Das Gejammere der User über die Performance möchte ich mir nicht anhören. Geht gar nicht.

Auf der Firmenseite kommen Watchguard, Lancom oder Fortinet zum Einsatz. Was würde als "Blackbox" in Frage kommen?

Na Watchguard, Lancom oder Fortinet. Das wäre das nächste Argument gegen diese Lösung: sauteuer.

Wie könnte man diese warten?

Na so wie die Firmenrouter auch. Die sind ja im gleichen Netz, wenn auch in zwei Segmenten. Also z. B. über Weboberflächen oder auch auf der Konsole. Man muss nur dafür sorgen, dass die Firewall das durchlässt.

Welche Lösungen habt ihr im Einsatz?

Watchguard mit Watchguard-Client. Läuft wie Schmidts Katze. Und für RDP reicht sogar eine langsame 16Mbit-Leitung auf Seiten des Clients aus, wenn er nicht gerade lokal drucken will. face-wink

hth

Erik
Mitglied: the-buccaneer
the-buccaneer 21.09.2020 um 23:08:57 Uhr
Goto Top
Zitat von @erikro:


Funktionieren würde das sicherlich. Aaaaaaber: Du hast eine Routerkaskade und, das ist ihmo das entscheidende Argument gegen diese Lösung, niemand hindert Deinen User daran, dass er nicht auch ein privates Gerät mit dem Router der Firma verbindet. Klar, Du kannst es mit MAC-Filtern probieren. Aber das hindert einen 14jährigen heute nicht mehr daran, diese Sperre zu umgehen. MAC-Spoofing ist Pipifax. Die bisherige Lösung ist imho besser.

Hinter diesem VPN sollte nix sein, ausser dem Client und dem Telefon die dürfen.
Der 14-Jährige ist im Netz des Providerrouters unterwegs. Hier kommt es aber zugegebenermaßen auf die konkrete Situation an. In meinem Beispiel ist das kein Thema.

Zweck:
- Isolierung des Laptops vom privaten Netz

Geht mit jedem besseren VPN-Client, wenn man ihn richtig einstellt. Man muss halt allen Traffic durch den Tunnel schicken.

- komplette Integration des Laptops in das Firmennetz inkl. Telefonie über Laptop+Headset

Auch das geht mit jedem VPN-Client, wenn die Leitungen schnell genug sind. Einer der ganz wenigen Vorteile von VoIP. Allerdings würde ich, wenn das viele User sind und das längerfristig angelegt ist, über eine Cloudlösung nachdenken.

Hatte ich überlesen. Meine User arbeiten per RDP auf ihrem Firmenrechner.

- kein VPN-Client auf dem Laptop notwendig

Warum nicht? Was ist dagegen einzuwenden?

- kein Terminal-Server notwendig

Hä? Sollen die User dann alle Software, die bisher auf dem TS war, auf den Laptop kriegen? Vor allem: Wenn sie auf dem Terminalserver arbeiten und, sagen wir mal, eine Datei mit 100MB öffnen, dann geschieht das im schnellen Firmennetz. Der Fileserver, der mit 10Gbit angebunden ist, schickt das an den TS, der auch über eine 10Gbit-Leitung verfügt. Schwupps, die Datei ist auf. Öffnet er sie auf dem Laptop, dann müssen die ganzen 100MB erst verschlüsselt, dann in z. B. IPsec-Pakete verpackt werden, um dann durch das rasend schnelle Internet zu tröpfeln. Das Gejammere der User über die Performance möchte ich mir nicht anhören. Geht gar nicht.

Siehe oben. Wenn die User keinen firmeninternen Rechner haben macht das sicher keinen Spaß alles über VPN zu übertragen. Hier ist der Terminalserver angesagt. Je nach Anforderung geht aber auch nen stromsparender Mini-Client im Firmennetz.
Klang für mich so, als solle 1 User angebunden werden.

Auf der Firmenseite kommen Watchguard, Lancom oder Fortinet zum Einsatz. Was würde als "Blackbox" in Frage kommen?

Na Watchguard, Lancom oder Fortinet. Das wäre das nächste Argument gegen diese Lösung: sauteuer.

PfSense. Saubillig. face-wink

Buc
Mitglied: erikro
erikro 21.09.2020 um 23:29:42 Uhr
Goto Top
Moin,

Zitat von @the-buccaneer:

Zitat von @erikro:
Funktionieren würde das sicherlich. Aaaaaaber: Du hast eine Routerkaskade und, das ist ihmo das entscheidende Argument gegen diese Lösung, niemand hindert Deinen User daran, dass er nicht auch ein privates Gerät mit dem Router der Firma verbindet. Klar, Du kannst es mit MAC-Filtern probieren. Aber das hindert einen 14jährigen heute nicht mehr daran, diese Sperre zu umgehen. MAC-Spoofing ist Pipifax. Die bisherige Lösung ist imho besser.

Hinter diesem VPN sollte nix sein, ausser dem Client und dem Telefon die dürfen.
Der 14-Jährige ist im Netz des Providerrouters unterwegs. Hier kommt es aber zugegebenermaßen auf die konkrete Situation an. In meinem Beispiel ist das kein Thema.

Ja klar, hinter dem VPN soll nichts anderes sein. Und genau deshalb stellt man auf der Client-Seite so wenig Hardware hin wie möglich. Im Home-Office hat man keine Kontrolle mehr über die Hardware. In der Firma stehen die sicherheitskritischen Netzkomponenten in abgeschlossenen Räumen. Aber ich kann ja nicht von Mitarbeitern im Home Office erwarten, dass ich ihnen da irgendwo einen Schrank an die Wand schraube, zu dem nur ich einen Schlüssel habe und der mir jederzeit zugänglich ist. Genau das müsste ich aber, denn Hardwarezugriff heißt potentiell immer, dass Sicherheitseinstellungen umgangen werden können.

Klang für mich so, als solle 1 User angebunden werden.

Bei einzelnen Usern geht sowas vielleicht noch. Aber ich hatte das so verstanden, dass das für viele eingerichtet werden soll.

Auf der Firmenseite kommen Watchguard, Lancom oder Fortinet zum Einsatz. Was würde als "Blackbox" in Frage kommen?

Na Watchguard, Lancom oder Fortinet. Das wäre das nächste Argument gegen diese Lösung: sauteuer.

PfSense. Saubillig. face-wink

Naja: https://www.voleatech.de/de/produkt/pfsense-support/

Echt jetzt. 200 Ocken/Supportanfrage und dann muss ich noch 3-5 Tage warten? Billig ist das nicht. face-wink

Liebe Grüße

Erik
Mitglied: the-buccaneer
the-buccaneer 22.09.2020 um 01:06:35 Uhr
Goto Top
PfSense. Saubillig. face-wink

Naja: https://www.voleatech.de/de/produkt/pfsense-support/

Echt jetzt. 200 Ocken/Supportanfrage und dann muss ich noch 3-5 Tage warten? Billig ist das nicht. face-wink


Och, die uneingeschränkte Community-Edition ist kostenlos und Support gibts dort im Forum oder hier von @aqui: und anderen.

(Und wer sich mit den Grundlagen auskennt fuchst sich da schnell rein. Habe in über 10 Jahren nicht einmal überlegt, ob ich kostenpflichtigen Support nehmen sollte.) Auch wenn ich manchmal die Büchsen fast zerschlagen hätte...
Neuinstallation ist da das Stichwort und der Pferdefuß, zugegeben.

Wenn man das mit den Abo-Kosten der anderen Anbieter vergleicht ist die PfSense geschenkt. (OpenSource) Welche anderen Produkte verwenden eigentlich noch welchen freien Code und verschleiern das? Die PfSense ist in der Szene noch immer die "ehrlichste".

LG
Buc
Mitglied: Inf1d3l
Inf1d3l 22.09.2020 aktualisiert um 08:14:53 Uhr
Goto Top
Hi, danke für eure Antworten.

Der Junior zuhause kann genau so gut auch Zugriff auf den Laptop bekommen, wenn Mama grad duscht und den Laptop nicht gesperrt hat. Andere Geräte mit dem Firmenrouter verbinden geht schon mal gar nicht, weil der WPA3-Key nicht bekannt ist. Außerdem wird nur der "WAN"-Port aktiviert sein. Unter Isolierung verstehe ich eine Hardware-Firewall zwischen Laptop und Privatnetz und keine Software-Firewall von Windows oder NCP-Client. Außerdem arbeitet jeder Mitarbeiter auf Netzlaufwerken. Sollte die Performance dennoch nicht stimmen, könnte man immer noch auf Remote-Desktop ausweichen.
Mitglied: 142583
142583 22.09.2020 um 10:03:20 Uhr
Goto Top
Wir haben viele tausend Notebooks mit Direct Access und migrieren OU fur OU und Department für Department nach Allways on VPN.
Das deckt über 99% des von Bedarfs ab.

Unsere eigenen nicht kompatiblen Geräte werden fast ausschließlich mit L2TP/IPSec verbunden und die speziellen Spezialfälle mit Sonicwall bzw. Palo Alto SSL VPN.

Für meine Spielprojekte, die man so am Hacken hat, werde ich in Kürze auf Mikrotik Wireguard setzen. Diverse fest vernetzte Verbindungen haben schon seit ein paar Wochen Wireguard im Einsatz. Eine nennenswerte Zahl weiterer Verbindungen, die aber oft auf Host-Namen aufgelöst werden ohne feste IP, bekommen nach dem nächsten Release auch sukzessiver Wireguard.

Ein Freund von mir hat eine größere Anwaltskanzlei. Alle Anwälte erhalten noch dieses Jahr einen LTE-WLAN-LAN Router der sich automatisch zur Firma verbindet wenn er Strom bekommt.
Mitglied: erikro
erikro 22.09.2020 um 16:12:03 Uhr
Goto Top
Moin,

Zitat von @Inf1d3l:

Der Junior zuhause kann genau so gut auch Zugriff auf den Laptop bekommen, wenn Mama grad duscht und den Laptop nicht gesperrt hat.

Nun hängt Euch doch nicht so an dem Junior auf. Dass das 14jährige können, sollte nur verdeutlichen, wie einfach das ist. Es geht bei dem Einwand um die Möglichkeit, fremde Geräte in das Firmennetz einzubringen. Habe ich vor Ort einen Router, der in das Firmennetz routet, dann ist das ziemlich einfach.

Andere Geräte mit dem Firmenrouter verbinden geht schon mal gar nicht, weil der WPA3-Key nicht bekannt ist.

Ernsthaft jetzt? Wenn es mir die Forenregeln nicht verbieten würden, würde ich Dir jetzt en detail beschreiben, wie man ohne Adminrechte auf dem Firmennotebook den Key auf einen anderen Rechner überträgt und dort dann ausliest. Das ist ungefähr genau so schwer wie das Spoofen einer MAC. Mit anderen Worten: Wenn der Mitarbeiter will, dann kommt er auch mit einem Fremdgerät auf den Router und damit ins Firmennetz.

Außerdem wird nur der "WAN"-Port aktiviert sein.

Ja und? Was ändert das an der Tatsache, dass Du ein WLAN mit Zugriff auf Dein Firmennetz aufspannen willst an einem Ort, an dem Du über die Hardware keinerlei Kontrolle mehr hast?

Unter Isolierung verstehe ich eine Hardware-Firewall zwischen Laptop und Privatnetz und keine Software-Firewall von Windows oder NCP-Client.

Und genau das erreichst Du mit Deinem Vorhaben nicht. Was hindert denn den Mitarbeiter daran, das Notebook mit seinem Privatnetz zu verbinden? Nichts. Anders: Wenn Du den Tunnel mittels Client vor der Benutzeranmeldung aufbaust und allen Traffic durch diesen Tunnel leitest, dann ist das Notebook vollständig von Privatnetzen (und zwar von allen auch im Hotel, der Bahn, auf dem Flughafen oder im Bordell) getrennt. Nur dann hat der Anwender keine Chance mehr (naja, fast keine), den Notebook in ein fremdes Netz einzubringen.

Wie auch immer ich es drehe und wende: Die Lösung mit Client auf dem Notebook ist sicherer als die mit einem eigenen Router hinter dem Privatnetz. Oder was sagen die anderen?

Liebe Grüße

Erik
Mitglied: Inf1d3l
Inf1d3l 22.09.2020 aktualisiert um 18:28:24 Uhr
Goto Top
Ich bin kein Experte für die "Blackboxen". Kann mir aber vorstellen, dass es im Enterprise-Bereich mehr Authentifizierungsmöglichkeiten gibt, als nur den WPA-Key. Z.B. Anmeldung am WLAN per Smartcard/Zertifikat/Benutzer-Anmeldung. Natürlich kann der Mitarbeiter auch diese Daten weitergeben. 100% Sicherheit gibt es nicht. Die Frage ist doch auch, wie sicher das private WLAN des Mitarbeiters ist... und darauf habe ich keinen Einfluss. Ich kann aber den Firmenlaptop eben von diesem WLAN isolieren. Vielleicht gibt es auch einen Blackbox-Agenten, der auf dem Laptop installiert wird und dann nur die eine Verbindung zur Box erlaubt.
Mitglied: erikro
erikro 22.09.2020 aktualisiert um 19:14:51 Uhr
Goto Top
Moin,
Moin,

Zitat von @Inf1d3l:
Ich bin kein Experte für die "Blackboxen". Kann mir aber vorstellen, dass es im Enterprise-Bereich mehr Authentifizierungsmöglichkeiten gibt, als nur den WPA-Key. Z.B. Anmeldung am WLAN per Smartcard/Zertifikat/Benutzer-Anmeldung. Natürlich kann der Mitarbeiter auch diese Daten weitergeben. 100% Sicherheit gibt es nicht. Die Frage ist doch auch, wie sicher das private WLAN des Mitarbeiters ist... und darauf habe ich keinen Einfluss.

Die Sicherheit des (W)LANS des Mitarbeiters interessiert Dich doch gar nicht, wenn Du einen Tunnel baust. Das (W)LAN ist bei jeder Lösung aus Sicht des VPN Teil des Internets, das getunnelt wird. Dabei ist es vollkommen egal, ob Du das VPN hinter dem (W)LAN des Mitarbeiters mittels eines VPN-Gateways oder mittels eines VPN-Clients aufbaust(1). Wenn die Pakete die Netzwerkkarte des Gateways oder des Clients ins (W)LAN des Mitarbeiters verlassen, sind sie verschlüsselt. Selbst wenn das (W)LAN des Mitarbeiters offen ist wie ein Buch und die Privatgeräte des Mitarbeiters von allerlei Trojanern verseucht sind, ist Dein VPN immer noch sicher. Das wird nicht dadurch sicherer, dass Du da ein Stück Hardware mehr hinstellst, denn dieses Stück Hardware muss sich auch mit dem (W)LAN des Mitarbeiters verbinden.

Und klar kannst Du noch mehr Aufwand treiben, indem Du allerlei tolle Sachen einkaufst. Aber erreichst Du damit mehr Sicherheit? Da sage ich: Eher nein. Zumal auch deshalb, weil zur Informationssicherheit ja nicht nur die Sicherheit der Daten, sondern auch die Verfügbarkeit des Systems gehört. Das, was Du vor hast, ist deutlich fehleranfälliger als die klassiche Lösung mit dem Client auf dem System. Wenn Du partout keinen proprietären Client willst, dann nimm halt die Bordmittel von Windows.

Was mir gerade noch dazu einfällt: Du solltest auch bedenken, dass die Mitarbeiter evtl. auch mal ihr Home Office im Schrebergarten oder auf dem Campingplatz machen wollen. Sollen die dann immer die Box mitschleppen und den Betreiber des dortigen Netzes dazu überreden, das Ding reinzustecken? face-wink

Liebe Grüße

Erik

1 Wenn man es genau betrachtet, ist der Client auch nichts anderes als ein VPN-Gateway. Er macht nämlich genau das Gleiche. Diese Boxen, die Du im Sinn hast, sind dafür gedacht, zwei Standorte zu vernetzen an denen mehrere Rechner stehen. Dann kommt die Box aber nicht hinter einen NAT-Router, sondern das Gateway wird direkt mit dem Internet über die Providerleitung verbunden und baut die VPN-Verbindung über die öffentlichen IPs der beiden Gegenstellen auf.
Mitglied: Inf1d3l
Inf1d3l 22.09.2020 um 20:10:54 Uhr
Goto Top
Schau dir mal an, was ein HomeOffice definiert. Dazu gehört kein Campingplatz. Wenn ein Mitarbeiter die Rahmenbedingungen ignoriert, dann sollte man sich von ihm vielleicht trennen. Außerdem geht es nicht um die Verschlüsselung. Wenn der Laptop im Privat-WLAN für alle sichtbar ist, dann ist er angreifbar (OSI-Modell). Jedenfalls gibt es solche Boxen im Enterprise-Bereich und mich würde interessieren, ob jemand diese im Einsatz hat und wenn ja, welche. Es macht auch irgendwie keinen Sinn, darüber zu diskutieren, wenn man nicht weiß, wie es genau funktioniert. Damit will ich nicht sagen, dass ich davon Ahnung habe. Deswegen frage ich hier nach.
Mitglied: erikro
erikro 22.09.2020 um 21:53:18 Uhr
Goto Top
Moin,

Zitat von @Inf1d3l:
Schau dir mal an, was ein HomeOffice definiert. Dazu gehört kein Campingplatz.

Wer definiert das? Und wie willst Du das kontrollieren? Und warum sollte der Mitarbeiter das nicht dürfen? Entscheidend ist doch beim Home Office nur, ob die Arbeit ordnungsgemäß erledigt wird. Oder?

Wenn ein Mitarbeiter die Rahmenbedingungen ignoriert, dann sollte man sich von ihm vielleicht trennen. Außerdem geht es nicht um die Verschlüsselung.

Doch, genau darum geht es.

Wenn der Laptop im Privat-WLAN für alle sichtbar ist, dann ist er angreifbar (OSI-Modell).

Dann gehen wir mal die OSI-Ebenen durch:

OSI1: wird sowohl vom Laptop als auch vom Gateway in gleicher Weise zum privaten Router genutzt. Kein Unterschied.

OSI2: Wir sehen ETH-Pakete, die von der MAC des Gateways bzw. des Laptops kommen. Bis auf die MAC kein Unterschied.

OSI3: Wir sehen die lokale IP des Gateways bzw. des Laptops im Header eines IPsec-Pakets. Kein Unterschied. Und in beiden Fällen kann der Laptop auf OSI3 nur den VPN-Tunnel nutzen. Der gesamte Traffic wird dahin geleitet.

OSI4: Wir sehen nichts mehr. Denn ab hier ist es verschlüsselt. Kein Unterschied.

OSI5-7: siehe OSI4.

Der Laptop ist, wenn Du den gesamten Traffic des Geräts durch den Tunnel schleust, nicht sichtbar. Wenn Du es richtig machst, dann muss, wenn Du das lokale Netz Deines Mitarbeiters pingst, das Gateway der Firma mit "network unreachable" antworten. Gelingt es jetzt einem Angreifer, in das WLAN des Mitarbeiters einzudringen, dann sieht er den Laptop immer noch nicht. Er sieht nur IPsec-Pakete. Gelingt es aber einem Angreifer in das von Deiner Box aufgespannte Netz einzudringen, dann sieht er ihn wirklich.

Jedenfalls gibt es solche Boxen im Enterprise-Bereich und mich würde interessieren, ob jemand diese im Einsatz hat

Klar gibt es die und wir haben die auch im Einsatz. Allerdings nicht, um Home Offices anzubinden. Wie schon gesagt: Die nutzt man, um zwei Netze, über die man die Kontrolle hat, miteinander zu verbinden. Vor allem hängt man sie nicht hinter einen NAT-Router. Die gehören direkt ans Netz.

und wenn ja, welche.

In meiner jetzigen Firma Watchguard. Ich kenne aber auch Lancom und Cisco. Selbst zwei Fritten habe ich schon miteinander verheiratet. Aber das war ein sehr kleiner Laden, bei dem der Chef zuhause mit mehreren Geräten Zugriff haben wollte.

Es macht auch irgendwie keinen Sinn, darüber zu diskutieren, wenn man nicht weiß, wie es genau funktioniert. Damit will ich nicht sagen, dass ich davon Ahnung habe. Deswegen frage ich hier nach.

Du weißt es nicht. face-wink Deshalb versuche ich Dir ja zu erklären, dass das für die Aufgabe einfach das falsche Design ist. Du erreichst damit bestenfalls nichts und treibst dafür eine Menge Aufwand.

Auch das habe ich schon gesagt: Letztlich unterscheidet sich die Funktionsweise eines Gateways und eines VPN-Clients kaum. Es wird eine Konfiguration erstellt, die mit der Gegenstelle übereinstimmen muss und es wird ein PSK eingetragen. Ist die Konfiguration korrekt, dann baut die Software einen VPN-Tunnel mit der Gegenstelle auf. Dabei wird das ein oder andere ausgehandelt und es werden Sitzungsschlüssel getauscht. Wenn die Verbindung steht, packen beide Seiten die verschlüsselten Pakete in VPN-Pakete ein, bevor sie in das zu tunnelnde Netz geschickt werden. Dann kommen sie auf der anderen Seite an und werden entschlüsselt.

Die VPN-Funktionalität unterscheidet sich prinzipiell nicht. Der Unterschied ist erst einmal nur der, dass auf der unverschlüsselten Seite beim Client nur ein Computer ist, während die Boxen mehrere bedienen können. Und dann sind wir beim Unterschied zwischen den Boxen und der Clientlösung. Die Boxen bieten eben über die reine VPN-Fähigkeit auch noch weitere Funktionen wie z. B. Routing oder Firewalling. Was Du da aber brauchst, kannst Du, wenn es um die Einzelplatzlösung geht, auch in der Firmenfirewall realisieren.

Auch das noch einmal, weil es dann doch ein wesentlicher Unterschied in der Funktionsweise ist, nach der Du ja gefragt hast: Bei der Clientlösung kann ich das so einrichten, dass sich der Laptop schon vor der Benutzeranmeldung automatisch mit dem VPN verbindet. Der User hat also gar keine Chance mehr, sich mit einem anderen als dem Firmennetz zu verbinden. Und genau das verkleinert den Angriffsvektor auf diesen Laptop ganz erheblich. Du hast ja Angst davor, dass der Laptop in einem anderen Netz "gesehen" wird. Bei Deiner Lösung kann der User aber seinen Laptop z. B. auch mit seinem (W)LAN verbinden. Das muss ja gar nicht in böser Absicht geschehen. Er will nur mal schnell beim Mittag via Hotspot seine Mails lesen. Klar, ich kann ihm verbieten, dass er sich mit anderen WLANs verbindet. Aber das Gequake will ich nicht hören. Vor allem führt das dazu, dass der Chef irgendwann die Order gibt, das möglich zu machen. Wird er aber gleich mit dem VPN der Firma verbunden, kann er sich selbst mit dem Hotspot der zweifelhaftesten Kascheme verbinden.

Übrigens: Wenn Mitarbeiter sich nicht an die Regeln halten, muss man sich irgendwann von ihnen trennen, ist zwar richtig aber in dem Zusammenhang kein Argument. Gibt man Mitarbeitern Laptops mit nach Hause, dann muss man damit rechnen, dass sie sie auch anderweitig nutzen als erlaubt. Werden sie gleich mit dem Firmennetz verbunden, dann wird das allerdings kaum mehr sein als das, was auch tagtäglich in der Firma geschieht: Mal schnell private Mails checken, kurz mal gucken, was die Flüge gerade kosten etc. Also eher verzeihliche und vor allem einigermaßen ungefährliche Verstöße gegen die Richtlinien. Können sie die Kiste aber mit ihrem privaten Netz verbinden, dann sinkt die Hemmschwelle, mal eben z. B. auf verbotenen Seiten zu surfen, ganz erheblich. Wenn das nicht so wäre, dann bräuchten wir keine Sicherheitsrichtlinien. face-wink

Wenn ich das wirklich so streng haben wollte, dann würde ich eine sichere Lösung in etwa so implementieren:

Auf die Laptops kommt als Betriebssystem ein ganz abgespecktes Linux, bei dem beim Hochfahren automatisch ein User angemeldet wird, der nur vier Dinge darf: Sich mit einem (auch unbekannten) WLAN verbinden mit den Tools dafür, meine VPN-Verbindung aufbauen, den RDP-Client mit meinem Server verbinden und in den Runlevel 6 wechseln. Dann läuft ein kleines Skript nach dem Hochfahren, das nach Erreichbaren bekannten WLANs sucht, findet es eins, verbindet es den Rechner automatisch mit ihm, sind es mehrere, dann wird der User gefragt. Sind es nur unbekannte, dann wird der User gefragt mit welchem und mit welchem Schlüssel. Wird eine Verbindung erfolgreich aufgebaut, wird die VPN-Verbindung aufgebaut, der RDP-Client mit dem fest eingetragenen Server gestartet und dem User die Windows-Anmeldemaske präsentiert. Geht unterwegs irgend etwas schief, dann gibt es eine Fehlermeldung und nach 30 Sekunden wird in den Runlevel 6 gewechselt. Ebenso, wenn der RDP-Client geschlossen wird.

Dann hast Du den Angriffsvektor Windows vollkommen ausgeschlossen. Was sich da mit dem fremden WLAN verbindet, ist ein Linux. Also das, was auf vielen dieser Boxen zum Einsatz kommt. Deshalb kannst Du das auch so dicht klopfen wie eine solche Box. Der User landet automatisch auf seinem Hop-Server in der Firma. Du hast keinerlei Firmendaten mehr auf dem Laptop. Der muss nicht einmal mehr Mitglied Deiner Domain werden. Dann noch eine Smartcard, die man braucht, um den Linux-User anzumelden und Du hast das, was Du willst.

Liebe Grüße

Erik