gelöst VPN-Zugriff aufs Firmennetz

Mitglied: Flo985

Flo985 (Level 2) - Jetzt verbinden

31.10.2008, aktualisiert 10.01.2009, 4236 Aufrufe, 5 Kommentare

Hallo zusammen,
habe folgendes Problem.

Ich habe bei uns in der Firma für unseren Chef einen VPN-Zugang eingerichtet. Er kann dann per Wake-On-Lan seinen Rechner starten und sich auf diesen verbinden und abreiten. Hat also normale Rechte wie sonst auch.

Nun möchte er, das ich dies für andere User auch mache. Er gibt mir vor, für wen dies erstellt werden soll.

Nun liegt mein Problem in folgendem:
Ich habe ein sehr ungutes Gefühl wenn so viele Mitarbeiter (12) Zugriff auf unser Netz haben. Vor allem auf das ERP-System, weil die Rechte haben alle User in der Firma, darauf zuzugreifen. Nur weiß man ja nicht, was von zu Hause alles für Schund getrieben wird.
Nun habe ich mir überlegt einen Terminalserver aufzusetzen, allen "VPN-Benutzer" anzulegen, dieser User hat dann komplett eingeschränkte Rechte auf unser ERP-System und nur Lese-Berechtigung auf unsere Daten, die am Fileserver liegen.

Was meint ihr? Wie habt ihr das bei euch in den Betrieben geregelt?
Mitglied: Arch-Stanton
31.10.2008 um 10:17 Uhr
Terminalserver ist ja schon mal eine gute Entscheidung. Aber warum möchtest Du entscheiden, ob der User welchen Zugriff der User auf das Softwaresystem hat? Wenn der Chef es will, solltest Du es vielleicht befolgen. Sinnvoll wäre auch die Protokolle des Terminalservers ab und zu zu sichern, so hast Du einen Nachweis, wann sich der einzelne User eingeloggt hat (gilt auch für den VPN-Server).

Ich hoffe, Ihr habt ein vernünftiges Hardware- VPN-Gateway.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Globetrotter
31.10.2008 um 10:22 Uhr
Hallo Flo,

ich rate Dir ebenfalls zu einem Terminalserver und einem VPN-Router (Ich benutze Draytek). Somit kannst Du einigermassen sicher sein, dass Eure Mitarbeiter nicht all zu groben Unfug treiben können und der Terminalserver nicht durch die M$-VPN-Dienste ausgebremst wird. Der ganze Spass wird aber recht teuer, da Du extra TS-Cal's benötigst. Soll der Terminalserver dann auch sonst noch im Netz als Fileserver etc stehen benötigst Du weiter User bzw. Device-Cals.

Mit solch einer Lösung bist Du aber auf jedenfall auf der sicheren Seite. Rumbasteln wird nämlich sehr schnell bestraft ;)

Gruss Matze
Bitte warten ..
Mitglied: Driver401
31.10.2008 um 10:25 Uhr
Zitat von Arch-Stanton:
Wenn der Chef es will, solltest Du es
vielleicht befolgen. Sinnvoll wäre auch die Protokolle des
Terminalservers ab und zu zu sichern, so hast Du einen Nachweis, wann
sich der einzelne User eingeloggt hat (gilt auch für den
VPN-Server).

Sehe ich auch so. Wenn ich was machen MUSS, was bei mir Sicherheitsbedenken auslöst, formuliere ich das schriftlich an den Chef, dann bin ich so schonmal auf der sicheren Seite, wenn dann doch was ist ("Ja warum haben sie denn nicht deutlich gesagt, was da passieren kann...."
Rechte einschränken ist natürlich eine schönere Lösung, keine Frage - aber wenn sie die Rechte ja vielleicht brauchen um arbeiten zu können?

Zusätzlich würde ich noch Sicherheitsrichtlinien ausarbeiten und von den VPN-Teilnehmern unterschreiben lassen, damit auch die dann nciht sagen können "aber das hat uns ja keiner gesagt..."
Wir kennen doch unsere Spezial-User

Gruß
Jürgen
Bitte warten ..
Mitglied: cykes
31.10.2008 um 11:31 Uhr
Hallo Flo,

ich würde zunächst einmal mit Deinem Chef sprechen, denn was er praktisch findet, muß ja nicht zwangsweise praktisch für die anderen Mitarbeiter sein.

Es gilt zunächst die Frage zu klären, wird überhaupt von den 12 Mitarbeiter von zu Hause aus gearbeitet, so dass sie den Zugriff auf das Firmennetz benötigen.
Ich würde auch ganz klar die Sicherheitbedenken äußern, auch mit nur Leseberechtigung kann man Daten entwenden. Danach ist die bereits erwähnte Kostenfrage für Terminalserverlizenzen, ein eventuell anzuschaffendes VPN Gateway zu klären und eventuell noch einen 2. Server für die Terminaldienste. Des weiteren wäre noch zu klären, ob die auf dem Terminalserver zugängliche Software terminalserverfähig ist und ob dies nicht noch weitere Lizenzkosten aufwirft.

Gruß

cykes
Bitte warten ..
Mitglied: Flo985
31.10.2008 um 12:08 Uhr
Hi, erstmal vielen Dank für eure antworten.
Ja, gescheite Hardware habe ich da...

Werde mich mal dran setzen, was ausarbeiten und es dann dem chef geben, mal sehen wohin das führt...
Bitte warten ..
Heiß diskutierte Inhalte
Benchmarks
M.2 SSD und RAM zu langsam
gelöst MarkowitschFrageBenchmarks22 Kommentare

Hallo zusammen, ich habe mir folgenden PC zusammengestellt : MB: ASUS - ROG Strix Z490-E Gaming Mainboard (90MB12P0-M0EAY0) CPU: ...

Datenbanken
SQL Null Abfrage
gelöst newit1FrageDatenbanken18 Kommentare

Hallo zusammen, ich versuche eine CSV in meine Datenbank zu importieren. Das klappt auch. Die CSV hat folgendes Format: ...

Internet
Wie baue ich ein sicheres Netzwerk auf?
gelöst BitLooserFrageInternet15 Kommentare

Moin moin zusammen:) Die Thema-Überschrift sagt eigtl. schon alles - Da ich vermute, dass dies eine doch recht häufige ...

Netzwerke
Aufbau Praxisnetzwerk mit Fragen (TI, Switch, Firewall, VoIP, Netzwerkdesign)
razorrFrageNetzwerke14 Kommentare

Hallo, ich bin neu hier, aber habe hier schon sehr lange im Forum mitgelesen bzw. mich schlau gemacht und ...

Router & Routing
OPNSense statt Endian Firewall
hannes.hutmacherFrageRouter & Routing14 Kommentare

Hallo zusammen, wir setzen hinter der pfSense, die die direkt am Internet hängt, noch eine Endian Firewall ein. Dazwischen ...

Vmware
ESXi für Raspberry Pi
sabinesInformationVmware13 Kommentare

VMware hat den ESXi für den Raspberry Pi (zu Testzwecken) vorgestellt, läuft 180 Tage auf dem Pi 4 mit ...

Ähnliche Inhalte
Netzwerke

VPN Verbindung zum Firmennetz nicht mehr möglich

gelöst decehakanFrageNetzwerke13 Kommentare

Hallo Zusammen, seit dieser Woche kann ich mich nicht mehr ins Firmennetz einbinden. Vorher ging es alles Problemlos und ...

Windows Server

VPN Zugriff nicht auf interne IP

gelöst jwernerFrageWindows Server4 Kommentare

Hallo Zusammen, evtl. stehe ich nur auf dem Schlauch. Folgendes Szenario. W2k12R2 mit Routing und RAS (eine NIC), IKEv2, ...

LAN, WAN, Wireless

Kein Zugriff auf Freigaben ( über VPN)

gelöst rusweinFrageLAN, WAN, Wireless20 Kommentare

Hallo liebe Admins, ich stehe auf dem Schlauch und bräuchte euren Rat. Folgendes Szenario: Standort 1 Büro (Unitymedia BW ...

Router & Routing

Zwei-Fritzbox VPN Netzwerk - zugriff auf GUI?

Wid0kejFrageRouter & Routing16 Kommentare

Hallo, wenn zwei Netzwerke über deren zwei Fritzboxen via VPN verbunden sind - wie kann ich auf die entfernte ...

Ubuntu

Kein Zugriff auf Ubuntu hinter VPN Router

MaffiFrageUbuntu3 Kommentare

Hallo zusammen, ich habe mit einer Securepoint RC100 und dem Securepoint SSL Client eine Verbindung mit einem entfernten Netzwerk ...

Router & Routing

Zugriff vom Terminalserver auf lokalen Netzwerdrucker ( VPN )

gelöst takvorianFrageRouter & Routing8 Kommentare

Hallo zusammen, wir haben bei einem Kunden einen Virtualisierunghost stehen auf dem ein DC und ein RDS Server virtualisiert ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud