VPN Tunnel und File-Sharing
Hi zusammen,
kurz was wir vorhaben/gefordert ist:
VPN Tunnel steht.
Nun zum Dateiaustausch. Intern wird ja alles über NTFS-Berechtigungen gelöst. Wie aber löst man das auf einem Fileserver in unserem Fall. Die Fremdfirma soll auf dem Share Dateien abholen und ablegen. Eine Vertrauensstellung zw. den beiden Domains gibt es nicht, wird es sicherlich auch nicht geben.
Spontan fällt mir nur was sehr unschickes ein = Zugriff für Everyone auf dem Share.
Für Input bin ich sehr dankbar.
VG
CSE
kurz was wir vorhaben/gefordert ist:
- VPN Tunnel Site2Site zwischen zwei Partnern
- File Share zum Dateiaustausch
VPN Tunnel steht.
Nun zum Dateiaustausch. Intern wird ja alles über NTFS-Berechtigungen gelöst. Wie aber löst man das auf einem Fileserver in unserem Fall. Die Fremdfirma soll auf dem Share Dateien abholen und ablegen. Eine Vertrauensstellung zw. den beiden Domains gibt es nicht, wird es sicherlich auch nicht geben.
Spontan fällt mir nur was sehr unschickes ein = Zugriff für Everyone auf dem Share.
Für Input bin ich sehr dankbar.
VG
CSE
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3079813907
Url: https://administrator.de/forum/vpn-tunnel-und-file-sharing-3079813907.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
die Lösung ist zwar einfach, ich persönlich hätte da aber ein Problem mit der Sicherheit.
Ein Konto für einen Fremd-User in meinem Firmen-Verzeichnisdienst (bei dir MS AD) halte ich nicht für gut. Auch den VPN-Tunnel in euer Firmennetz (der Tunnel endet ja bei eurem Router - Site by Site - und nicht auf dem Fileserver) sehe ich kritisch.
Wir haben auch das Problem, das wir häufiger große bzw viele Dateien mit unseren Partnern/Kunden austauschen müssen. Durch Beschränkungen in den Mailservern (Größe) und den Firewalls (Dateitypen im Anhang) ist eMail keine Option.
Ich habe das durch einen FTP-Server in der DMZ gelöst. Die Kunden/Partner erhalten auf dem FTP-Server ein entsprechendes Konto und Home-Verzeichnis. Die internen Mitarbeiter haben ebenfalls Konten mit entsprechenden Zugriffsrechten auf die jeweiligen Home-Verzeichnisse der Kunden/Partner.
Die vertraulichen Daten liegen nicht in der Cloud, Externe haben nur Zugriff auf die DMZ, es gibt keine Fremdzugänge im AD.
Jürgen
die Lösung ist zwar einfach, ich persönlich hätte da aber ein Problem mit der Sicherheit.
Ein Konto für einen Fremd-User in meinem Firmen-Verzeichnisdienst (bei dir MS AD) halte ich nicht für gut. Auch den VPN-Tunnel in euer Firmennetz (der Tunnel endet ja bei eurem Router - Site by Site - und nicht auf dem Fileserver) sehe ich kritisch.
Wir haben auch das Problem, das wir häufiger große bzw viele Dateien mit unseren Partnern/Kunden austauschen müssen. Durch Beschränkungen in den Mailservern (Größe) und den Firewalls (Dateitypen im Anhang) ist eMail keine Option.
Ich habe das durch einen FTP-Server in der DMZ gelöst. Die Kunden/Partner erhalten auf dem FTP-Server ein entsprechendes Konto und Home-Verzeichnis. Die internen Mitarbeiter haben ebenfalls Konten mit entsprechenden Zugriffsrechten auf die jeweiligen Home-Verzeichnisse der Kunden/Partner.
Die vertraulichen Daten liegen nicht in der Cloud, Externe haben nur Zugriff auf die DMZ, es gibt keine Fremdzugänge im AD.
Jürgen
ich persönlich hätte da aber ein Problem mit der Sicherheit.
Wohl nicht nur du hast da zu Recht Bauchschmerzen... Zumindest sollte man im Tunnel per Regelwerk nur SMB/CIFS zulassen aber dennoch ist das mehr als kritisch völlig Fremde so direkt auf die Infrastruktur und Server zu lassen. Gilt ja auch für die andere Seite.Die Vorredner haben es schon gesagt: Aus Sicherheitsperspektive in Firmen eigentlich ein ziemliches NoGo und klingt eher nach fahrlässiger Bastelei.
Moin,
Gruß,
Dani
oh man das ist ja peinlich einfach. auf die einfachsten sachen kommt man dann immer nicht ;)
damit verbunden auch an die Lizenzkosten für Microsoft bedenken...Fall. Die Fremdfirma soll auf dem Share Dateien abholen und ablegen. Eine Vertrauensstellung zw. den beiden Domains gibt es nicht, wird es sicherlich auch nicht geben.
Bei uns muss der User aktiv die Daten an den DL verschicken. Somit kann sich der AG hinterher nicht ausreden, wenn der DL Daten in der Hand hat, die ihn nichts angehen. Geht primär um Haftungsfragen und ggf. personalrechtliche Konsequenzen.Gruß,
Dani
@chiefteddy
Gruß,
Dani
das ist doch mit 'nem FTP-Server auch so. Der dient doch nur dem Transfer.
Das ist richtig. Aber ich gehe davon aus, dass nicht jeder einen persönlichen Account zum Hoch- und Herunterladen hat. So habe ich die bisherigen Verlauf aufgeasst.Gruß,
Dani