[HaBo]

Alinaa

Anzeige

Hallo zusammen ,

hab mich in das Thema eingelesen, muss aber zugeben: ich hab nicht so viel Ahnung davon. Sonst hätte ich jetzt auch keine Frage ;o)

Ein Kunde möchte eine VPN Verbindung zu uns, um ein paar Daten immer aktuell abrufen zu können. (Wir sind ein normales kleines produzierendes Unternehmen).
Die liebe Sicherheit - ich mag sie sehr gerne und will Sie nicht verlieren.

Der Kunde/Mitarbeiter ist eigentlich i.O., aber ich weiss leider nicht, wer in einem Jahr die VPN Verbindung bedient - spricht wie vertrauensvoll der/die dann ist.

Mir geht es nicht um die Sicherheit der Daten beim Transport. Da hab ich mich schon eingelesen, aber wozu ich kaum Info finde ist, wenn man dem VPN Partner nicht 100% vertraut. Vielmehr geht es mir darum, was kann der VPN-Partner bei mir im Netz alles anstellen auch wenn er zunächst nur eine Seite zur Ansicht bekommt.
Wenn er doch einen Zugang hat, dieser Zugang zwar eingeschränkt ist, dann kann er doch, trotzdem - wenn er sich sehr gut auskennt - weiter das Netz durchsuchen und sich breit machen - auch wenn er kein Admin-Zugang bekommen hat. Oder liege ich da falsch?

Nachdem ich mich ein wenig eingelesen habe, wäre meine Wahl
ein VPN SSL System: "..das nur den Zugriff auf Webanwendungen mit einem Webbrowser ermöglichen, aber keine Anwendungen bereitstellen können, die die Übertragung von Netzwerkprotokollen erfordern" Quelle: SSL-VPN

Würdet ihr auch so eines wählen, wenn ihr dem VPN Partner nicht 100% vertraut. Bei IPsec denke ich, kann man noch mehr das Firmennetz angreifen als bei der oben beschriebenen SSLVPN Verbindung.

Sollte die Frage doch zu banal sein und sollte ich trotz meiner Mühe zu DAU sein, bin ich auch nicht böse, wenn ihr nicht antwortet. ;o)

(Warum ich mich damit beschäftige, wenn ich mich doch gar nicht damit auskenne? Weil ich der Meinung bin, dass unsere IT-Netzwerkfirma nicht auf allen Gebieten 100 % perfekt sein kann. Und ich mich mit einem "das ist schon sicher" nicht zufrieden gebe.)

Lieben Dank.
Alia

xeno

Du warst im falschen Bereich, daher habe ich dich mal verschoben und freigeschaltet.

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

bitmuncher

Im Optimalfall legst du die Anwendung des Kunden in ein eigenes Subnetz innerhalb deines Netzwerks. Dann kannst du den Zugang über VPN auf dieses Subnetz einschränken. Bei einem Webserver wäre das z.B. möglich, indem man ein virtuelles Netzwerk-Interface erstellt, das eine IP des "Kunden-Subnetzes" bekommt. An diese IP bindest du dann den Webserver explizit mit dem zugehörigen VirtualHost oder mit einem eigens dafür eingerichteten VHost. Dein Kunde kann somit nur noch über dieses Interface auf die Webanwendung zugreifen und hat keinen Zugriff auf euer komplettes LAN.

__________________

Alinaa

@xeno: merci vielmals

@bimuncher: Vielen lieben Dank. Über Quarantäne VPN Verbindung hab ich auch schon gelesen. Wie sicher würdest Du die Variante, wie Du Sie beschrieben hast, einschätzen? 100 % sicher gibt`s ja nicht wirklich, oder? Verhält es sich bei deiner Variante so: Viele, die versuchen weiter ins Netzwerk vorzudringen, steigen mangels Können aus. Es gibt aber ein paar wenige, die es da trotzdem noch schaffen könnten weiter vorzudringen?

Gruß
Alina

enkore

Also theoretisch kommst du aus dem Subnetz nicht raus. Praktisch nur durch einen Bug im TCP/IP-Stack eines Teilnehmers oder durch ein Gateway aus dem Netzwerk raus. Wenn man aber z.B. jede IP im Subnetz außer die des Kunden und des Servers sperrt, dürfte eigentlich nix gehen.

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

GrafZahl

für besagten webserver sollten dann auch die gleichen sicherheitsvorkehrungen gelten wie für einen der am i-net hängt

__________________

Code:

:(){ :|:& };:

Veritas Aequitas

chr0n0s

Meiner Meinung nach ist die beste Variante IPSec in Verbindung mit einem Radius-Server einzusetzen, volle Kontrolle über jeden VPN-Teilnehmer.

Extra ein Subnetz nur für einen einzigen - wenn es denn nur einer ist - wäre mir zu aufwendig, zumal man auch erst einmal sehen müsste wie das Netz in der Firma aufgeteilt ist. Da es sich ja anscheinend um eine "kleine" Firma handelt, werden die wohl nicht großartig rumsubnettiert haben und eher in einem Private Network IP-Bereich liegen.

Da ich vermute, dass eine Windows-Domäne vorhanden ist, wäre ich eher für solch eine Lösung - wie schon erwähnt - IPSec in Verbindung mit einem Radius Server und entsprechenden Sicherheitsrichtlinien.

Wunderbar zentral administrierbar und auch kontrollierbar. Ebenfalls kannst Du IPSec in Verbindung mit L2TP verwenden, welches durchaus höhere Sicherheit bietet als PPTP.

Vielleicht noch ein hilfreicher Link: Tipps zur Wahl der richtigen VPN-Technik - IPsec-VPN oder SSL-VPN | TecChannel.de

Info:
[ Radius: RADIUS ]
[ L2TP: Layer 2 Tunneling Protocol ]

bitmuncher

Wenn in der Webapplikation eine Sicherheitslücke ist, die es ermöglicht ein Programm/Skript in's System einzuschleusen, ist es durchaus möglich weiter in's Netz vorzudringen, aber sonst dürfte es eher schwierig werden.

__________________

Alinaa

@csde rats: Vielen lieben Dank.
Unter der Annahme, dass der Kunde eben noch tiefer ins Netzwerk rein möchte denke ich, dass er auch einen Bug im TCP/IP Stack verstecken würde.
Theoretisch könnte er diesen Bug aber trotzdem einschleusen, auch wenn ich alle IP´s, außer die vom Kunden und die des Server, sperre. Oder hab ich das falsch verstanden?

@Graf Zahl: Lieben Dank und Grüße an Elmo ;o)

@ chOnOs: Lieben Dank. Nun, der Aufwand wäre eigentlich egal, außer es würde auf 10.000 Euro kommen ;o) Hauptsache es ist so bombenfest sicher, dass 99 % der Versuche, weiter ins Netzwerk vorzudringen, fehlschlagen würden. Nur dann kann ich ruhigen Gewissens das zulassen. Welche Variante wäre, abgesehen von den Kosten, die sicherere ? Quarantäne SSL VPN mit Webserver oder IPsec mit Radiusserver?


@ all: Ich nehme jetzt mal alle Info zum Termin übermorgen mit und dann schau m mal.

>eineRundeBierAusgebend< ;o)

Danke. LG Alina

chr0n0s

Sicher sind beide

Aber eben jede auf Ihre Weise, IPSec kannst Du eben über IP-Sicherheitsrichtlinien über Windows Server eurer Firma steuern. Wo gleich Du jegliche Konfiguration für jeden einzelnen VPN-Partner tätigen kannst.

SSL VPN ist dort nicht so flexibel und steuert sich hauptsächlich über die Verschlüsselung der Daten durch den Tunnel, aber die Konfiguration geht dabei nicht soweit, dass Du über SSL VPN explizit eine IP-Sicherheitsrichtlinie konfigurieren könntest.

Der Artikel von Tecchannel macht dieses ebenfalls klar, solltest Du also noch einmal lesen.

Jedoch streiten sich bei allem die Geister, da Du ja zu 100% keine Sicherheit gewährleisten kannst, sondern eben nur Maßnahmen ergreifen kannst um es einen potenziellen Angreifer schwieriger zu machen. Notfalls könntest Du ein IDS/IPS-System einbinden oder eine gute Hardware-Firewall kaufen um den Datenverkehr zu protokollieren und zu überwachen.

Alinaa

Servus,

also jetzt hab ich den Vorschlag bekommen:
anstatt dem bisherigen Router ein Router mit Firewall und mit dem kann man, wie ihr erwähnt hattet, protokollieren.
PLUS:
FTP Zugang dem Kunden gewähren über/auf/durch eine DMZ (DemilitarisierteZone). Die Daten würden auf dem internen Daten Server liegen. Alles gut konfiguriert "Kunde hat keine admin, schreib oder änderungsrechte sondern nur lese rechte" so soll das dann wohl sicher sein.

Ich würde diese Variante erweitern : den FTP Zugang über eine DMZ laufen lassen und die Daten wären auf einem alten Rechner extra abgelegt, der nur diese Daten und sonst nichts zur Verfügung hat. Die zur Verfügung zu stellenden Daten auf diesen alten Rechner würden hm.....direkt von einem Mitarbeiter-Rechner da täglich drauf geschaufelt werden. NIcht über s interne Netzwerk. Und das ganze Verschlüsselt.

Wie sicher findet ihr meine letzte Variante? Wenn ich so was sag, kucken die mich immer komisch an. VPN ist wohl nicht notwendig, da Daten nur in eine Richtung nämlich zum Kunden fließen sollen. (Ich dachte VPN ist die sicherste Variante um Datenverkehr zu gewähren) Nun gut. Da steh ich nun ich armer Tor und bin so schlau als wie ....

Der liebe Verkehr tstztstz.... muss das immer so komplex sein - und dann auch gleich noch militarisiert.

Vielen Dank.
Liebe Grüße
Alina

Alinaa

Danke ChOnOs Von welcher Firma würdest Du Dir die kaufen? Bezüglich der genauen Konfigurationen würde das hier dann den Rahmen sprengen, aber welche Firma ist die Deines Vertrauens? Oder noch besser gefragt: NetGear oder GateProtect? Welche Firma findest Du besser?
LG
Alina

chr0n0s

GateProtect kenne ich gar nicht

Netgear ist meiner Meinung nach, na ja "Kinderspielzeug".

Ich persönlich bevorzuge SonicWALL!

Die Konfiguration würde durchaus jeglichen Rahmen sprengen. Gerade bei SonicWALL werden Schulungen angeboten für Administratoren zum Konfigurieren etc.

Alinaa

@chronos. lieben dank.