8
Verbindungsabsicherung Außendienstmitarbeiter
Hallo zusammen,
ich betreue für eine kleinere Firma u.a. die Laptops der Außendienstmitarbeiter.
Diese haben eine VPN-Verbindung in die "Zentrale", um auf einige Dienste zugreifen zu können.
Insbesondere nutzen sie so auch den dortigen DNS-Server.
Soweit ist alles klar und kein Problem.
Nun ist die Frage aufgekommen, wie man den Internetverkehr der Außendienstmitarbeiter besser schützen könne, da diese ja alle möglichen Hotspots, WLANs usw benutzen.
Ggfs. sollen die dienstlichen Handies ebenfalls geschützt werden.
Der klassische Ansatz ist hier ja, dass die Internetverbindung der Zentrale genutzt wird.
Also: Über den ohnehin bestehenden VPN alle Verbindungen tunneln und von dort über das Gateway in's Internet lassen.
Das wäre technisch kein Problem, was ich mich aber frage:
Es sind nur recht wenige Mitarbeiter, deren Geräte dann quasi "eine statische IP im Internet" hätten... vereinfacht das Tracking usw. nicht dramatisch?
Gerade wenn auch Smartphones eingebunden werden, die z.B. personalisierte Accounts in Messengern haben?
Wie handhabt ihr sowas? Bzw. was ratet ihr mir?
ich betreue für eine kleinere Firma u.a. die Laptops der Außendienstmitarbeiter.
Diese haben eine VPN-Verbindung in die "Zentrale", um auf einige Dienste zugreifen zu können.
Insbesondere nutzen sie so auch den dortigen DNS-Server.
Soweit ist alles klar und kein Problem.
Nun ist die Frage aufgekommen, wie man den Internetverkehr der Außendienstmitarbeiter besser schützen könne, da diese ja alle möglichen Hotspots, WLANs usw benutzen.
Ggfs. sollen die dienstlichen Handies ebenfalls geschützt werden.
Der klassische Ansatz ist hier ja, dass die Internetverbindung der Zentrale genutzt wird.
Also: Über den ohnehin bestehenden VPN alle Verbindungen tunneln und von dort über das Gateway in's Internet lassen.
Das wäre technisch kein Problem, was ich mich aber frage:
Es sind nur recht wenige Mitarbeiter, deren Geräte dann quasi "eine statische IP im Internet" hätten... vereinfacht das Tracking usw. nicht dramatisch?
Gerade wenn auch Smartphones eingebunden werden, die z.B. personalisierte Accounts in Messengern haben?
Wie handhabt ihr sowas? Bzw. was ratet ihr mir?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 1963063643
Url: https://administrator.de/contentid/1963063643
Printed on: August 31, 2024 at 22:08 o'clock
8 Comments
Latest comment
Zitat von @strator6750:
Nun ist die Frage aufgekommen, wie man den Internetverkehr der Außendienstmitarbeiter besser schützen könne, da diese ja alle möglichen Hotspots, WLANs usw benutzen.
Nun ist die Frage aufgekommen, wie man den Internetverkehr der Außendienstmitarbeiter besser schützen könne, da diese ja alle möglichen Hotspots, WLANs usw benutzen.
Moin,
wenn Du Wert auf Sicherheit legst, dann statte die Notebooks mit Datentarifen und SIM Karten aus und nutze damit die Zugänge, die Du unter Kontrolle hast, ggfs. mit mobilen Routern. Es gilt zwar als einigermaßen sicher auch öffentliche Hotspots zu nutzen, wenn Du VPN nutzt, ich persönlich halte aber nichts davon.
Das ist sicher auch eine Kostenfrage.
Grüße
Die Industrie hat über Jahrzehnte hinweg Verfahren entwickelt, einzelne Geräte hinter vielen Schichten NAT und wechselnden Internetzugängen zu verfolgen.
Die IP-Adresse ist für Tracking größtenteils irrelevant, auch wenn die ganzen halbseidenen VPN-Anbieter was anderes behaupten.
Diese Art Fingerprinting kommt z.B. ganz ohne die IP aus:
https://browserleaks.com/canvas
Die IP-Adresse ist für Tracking größtenteils irrelevant, auch wenn die ganzen halbseidenen VPN-Anbieter was anderes behaupten.
Diese Art Fingerprinting kommt z.B. ganz ohne die IP aus:
https://browserleaks.com/canvas
1
@sabines:
Aber wann ich wirklich alles über den VPN tunnle, kann der Betreiber des Hotspots doch außer wenigen Metadaten nichts mehr sehen?
Oder wo genau erkennst du hier die Schwachstelle?
Ansonsten: Klar, n mobiler LTE-Router wäre da nochmal etwas besser.
@LordGurke:
Klar, es gibt auch viele Verfahren des Fingerprinting, so dass man Geräte trotzdem recht einfach identifizieren kann.
Aber wird es nicht nochmal erheblich einfacher, wenn jemand "immer über die selbe IP ankommt"?
Aber wann ich wirklich alles über den VPN tunnle, kann der Betreiber des Hotspots doch außer wenigen Metadaten nichts mehr sehen?
Oder wo genau erkennst du hier die Schwachstelle?
Ansonsten: Klar, n mobiler LTE-Router wäre da nochmal etwas besser.
@LordGurke:
Klar, es gibt auch viele Verfahren des Fingerprinting, so dass man Geräte trotzdem recht einfach identifizieren kann.
Aber wird es nicht nochmal erheblich einfacher, wenn jemand "immer über die selbe IP ankommt"?
Moin...
nein, weil die IP nix über die wahre Identität aussagt!
Frank
Zitat von @strator6750:
@sabines:
Aber wann ich wirklich alles über den VPN tunnle, kann der Betreiber des Hotspots doch außer wenigen Metadaten nichts mehr sehen?
soweit Richtig!@sabines:
Aber wann ich wirklich alles über den VPN tunnle, kann der Betreiber des Hotspots doch außer wenigen Metadaten nichts mehr sehen?
Oder wo genau erkennst du hier die Schwachstelle?
Ansonsten: Klar, n mobiler LTE-Router wäre da nochmal etwas besser.
@LordGurke:
Klar, es gibt auch viele Verfahren des Fingerprinting, so dass man Geräte trotzdem recht einfach identifizieren kann.
Aber wird es nicht nochmal erheblich einfacher, wenn jemand "immer über die selbe IP ankommt"?
Ansonsten: Klar, n mobiler LTE-Router wäre da nochmal etwas besser.
@LordGurke:
Klar, es gibt auch viele Verfahren des Fingerprinting, so dass man Geräte trotzdem recht einfach identifizieren kann.
Aber wird es nicht nochmal erheblich einfacher, wenn jemand "immer über die selbe IP ankommt"?
nein, weil die IP nix über die wahre Identität aussagt!
Frank
Kleinen SSL-VPN Server aufsetzen und dann bspw. über OpenVPN die Verbindung aufbauen
Authentifizierung kann je nach FW/VPN-Server variieren, FW mit Benutzerverwaltung würde ich bei einem kleineren
Unternehmen schon einsetzten, grade wenn es noch keine "größere" Infrastruktur gibt mit RADIUS-Server etc.
Authentifizierung kann je nach FW/VPN-Server variieren, FW mit Benutzerverwaltung würde ich bei einem kleineren
Unternehmen schon einsetzten, grade wenn es noch keine "größere" Infrastruktur gibt mit RADIUS-Server etc.
Guten Morgen,
genau, ZekiDawood! Wie ich es technisch machen würde ist soweit klar.
Für die Smartphones würde ich vmtl. Wireguard nehmen, da es meiner Erfahrung nach gerade auf kleinen Geräten mit wackeliger Netzwerkverbindung super funktioniert.
Was ich mich eben frage ist, ob es etwas bringt, den Traffic entsprechend zu tunneln.
Genügt es bei einem Smartphone nicht bspw., per VPN nur den DNS-Server des Unternehmens anzubinden?
Denn nahezu alle andere Kommunikation findet ja heute ohnehin z.B. über HTTPs statt?
genau, ZekiDawood! Wie ich es technisch machen würde ist soweit klar.
Für die Smartphones würde ich vmtl. Wireguard nehmen, da es meiner Erfahrung nach gerade auf kleinen Geräten mit wackeliger Netzwerkverbindung super funktioniert.
Was ich mich eben frage ist, ob es etwas bringt, den Traffic entsprechend zu tunneln.
Genügt es bei einem Smartphone nicht bspw., per VPN nur den DNS-Server des Unternehmens anzubinden?
Denn nahezu alle andere Kommunikation findet ja heute ohnehin z.B. über HTTPs statt?
Stichwort: Mobile Device Management.
Damit überwachst, schützt du alle mobilen Endgeräte so nach den Aussagen der Entwickler.
Damit überwachst, schützt du alle mobilen Endgeräte so nach den Aussagen der Entwickler.
Ja, sowas hatte ich schon überlegt.
Das lohnt aber nicht, wir reden hier wirklich nur von 4 Laptops und ner entsprechenden Anzahl Smartphones.
Meine Frage reduziert sich mehr darauf, ob es sich lohnt, den Internetverkehr in die "Zentrale" zu tunneln oder nicht.
Bei DNS finde ich das schon sinnvoll, denn das Protokoll ist ja doch sehr angreifbar und einsehbar.
Das lohnt aber nicht, wir reden hier wirklich nur von 4 Laptops und ner entsprechenden Anzahl Smartphones.
Meine Frage reduziert sich mehr darauf, ob es sich lohnt, den Internetverkehr in die "Zentrale" zu tunneln oder nicht.
Bei DNS finde ich das schon sinnvoll, denn das Protokoll ist ja doch sehr angreifbar und einsehbar.
