Janguru 1 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Guten Morgen, ich habe hier eine Verständnisfrage. Wenn ein Computer außerhalb des Firmennetzwerks über das klassische VPN mit einem Firmennetzwerk verbunden ist, ist es doch so, als ob dieser Computer sich in der Firma physisch befindet und mit einem Netzwerkkabel verbunden wäre. Korrekt? Und falls dieser (Home-Office)-Computer außerhalb der Firma sich ein Malware eingefangen haben sollte, so kann dieser Rechner, die anderen Computer im Firmennetzwerk verseuchen. Richtig? Deswegen ist es doch aus meiner Sicht vernünftig, dass man den Computer, der sich außerhalb vom Firmennetzwerk befinden soll, ein firmenkonformes Windows installiert, wo bestimmte Sachen u.a. weggescrippted werden, ein Virenscanner von der Firma mit deren Richtlinien bestimmt sind usw. aufstellt und es soweit wie möglich absichert. Wenn das so ist, dann wäre das doch -sehr mild ausgedrückt- total Banane, wenn man ein privat PC, statt ein firmenkonformen PC in das VPN-Netzwerk einbinden würde. Man weiß doch gar nicht, wie möglicherweise dieser privat PC schon verseucht sein könnte. Zumal würde das aus meiner Sicht hier nicht funktionieren, weil dieser PC sich auch nicht in unser AD-Domäne befinden würde. Das sind jetzt bestimmt schräge Fragen, die ich hier stelle, vielleicht weil seit langer Zeit zuviel gearbeitet habe und ich urlaubsreif bin :-) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Es gibt IMO keinen Grund weshalb man private Computer ins Office LAN lässt. Egal auf welchem Weg. 2 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Wenn das Konzept kein bring your own device hergibt, sollte man auch keine Geräte ins Netz lassen, auf die man keinen Einfluss hat. 1 Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Lange Frage, kurze Antwort Du hast Recht 1 1 Zitieren Link zu diesem Kommentar
Janguru 1 Geschrieben 4. Dezember 2020 Autor Melden Teilen Geschrieben 4. Dezember 2020 (bearbeitet) vor 20 Minuten schrieb NorbertFe: Wenn das Konzept kein bring your own device hergibt, sollte man auch keine Geräte ins Netz lassen, auf die man keinen Einfluss hat. Ja, genau. Das sehe ich auch so. Das bedeutet also, dass ein Fremdrechner -egal ob privat oder fremdfirmen PC / Gerät - ein Sicherheitsrisiko darstellen kann, wenn es über VPN sich in das Firmennetzwerk verbindet und somit Schadcode in das eigene Netzwerk übertragen werden kann. Richtig? Und wie sieht es aus mit Citrix? So wie ich das verstanden habe, wird das Programm gestartet und nur die Bilder werden auf den Rechner übertragen. Wäre diese Art sicherer als das klassische VPN? bearbeitet 4. Dezember 2020 von Janguru Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 vor 23 Minuten schrieb Janguru: Wäre diese Art sicherer als das klassische VPN? Kommt darauf an. Aber mit großer Wahrscheinlichkeit. vor 24 Minuten schrieb Janguru: Richtig? Jahaaaa Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Hi, mit "Citrix" führen viele Wege nach Rom ins Büro. Das kann von "stumpf" im Internet veröffentlichtem Storefront Server über "klassisches VPN" bis hin zum Netscaler Gateway mit Endpoint Analyse & Co. oder 3rd Party Application Delivery Controller nahezu alles sein. Wer mag kann hier auch gerne noch Citrix SD-WAN unterbringen. Beim Einsatz vom Citrix ADC (Netscaler) bleibt ja auch noch "ein wenig" Spielraum wie bspw. clientless VPN, ICA Proxy, Remote Desktop Proxy und/oder Full VPN. "Microsoft" kann das - was du hier vermutlich meinst - allerdings auch mit dem RD Web Access / RD Gateway und der Web Application Firewall (Web Application Proxy?) bzw. dem Azure Application Gateway oder eben auch mit 3rd Party "ADCs". vor 15 Minuten schrieb Janguru: So wie ich das verstanden habe, wir das Programm gestartet und nur die Bilder werden auf den Rechner übertragen. Das muss aber erstmal so konfiguriert werden. "HDX" (und auch RDP) kann wesentlich mehr wie "Bilder übertragen". Das kannst du aber auch bei RDP (mit oder ohne VPN) erreichen. Gruß Jan 2 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 vor 24 Minuten schrieb Janguru: ... wie ich das verstanden habe, wird das Programm gestartet und nur die Bilder werden auf den Rechner übertragen. Wäre diese Art sicherer als das klassische VPN Bei uns gibt es zwei Varianten - die komplette Hardware gehört der Firma, inkl Router (ggf. LTE) oder wir machen einen Windows 10 Enterprise USB Stick, mit dem gearbeitet wird. Von den 70 Stück habe ich aber nur zwei auf USB-Stick, weil das Leute sind denen wir das zutrauen Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 vor 33 Minuten schrieb testperson: Hi, mit "Citrix" führen viele Wege nach Rom ins Büro. Das kann von "stumpf" im Internet veröffentlichtem Storefront Server über "klassisches VPN" bis hin zum Netscaler Gateway mit Endpoint Analyse & Co. oder 3rd Party Application Delivery Controller nahezu alles sein. Wer mag kann hier auch gerne noch Citrix SD-WAN unterbringen. Beim Einsatz vom Citrix ADC (Netscaler) bleibt ja auch noch "ein wenig" Spielraum wie bspw. clientless VPN, ICA Proxy, Remote Desktop Proxy und/oder Full VPN. "Microsoft" kann das - was du hier vermutlich meinst - allerdings auch mit dem RD Web Access / RD Gateway und der Web Application Firewall (Web Application Proxy?) bzw. dem Azure Application Gateway oder eben auch mit 3rd Party "ADCs". Das muss aber erstmal so konfiguriert werden. "HDX" (und auch RDP) kann wesentlich mehr wie "Bilder übertragen". Das kannst du aber auch bei RDP (mit oder ohne VPN) erreichen. Gruß Jan Verschreck ihn doch nicht gleich wieder. :p Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Es gibt noch VMWare Horizon View. Nur der Vollständigkeit halber ;-). Kurzfassung: Private Geräte können nur als Thinclient mit der geeigneten Client-Software eingebunden werden. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Auch wenn mir Betriebsfremde Geräte immer ein Gräuel sind. 100% vermeiden ist gar nicht so einfach. Wenn es um wenige Clients geht ist evlt. auch Teamviewer ein Option. Weils halt einfach super Simpel ist und die Video-Komprimierung/Dekomprimierung vermutlich mit die schnellste oder die schnellste dieser Lösungen am Markt ist. Für Fix-Fix Verbindungen ist TV nur leider unglaublich teuer weil One-To-Many lizenziert wird. Also ein Supporter für mehree Kunden/Clients. Eigentlich wird Aber nur eine One-To-One gebraucht. Also Verbindung zur eigenen Kiste im Geschäft. Mittlerweile gibts glaub sogar eine entsprechende Lizenz die günstiger ist für solche Anwendungen. Teradici kann sowas auch mit Ihren Software-PCoIP Clients. Ist dann auch relativ günstig. Ansonsten eben VPN Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 4. Dezember 2020 Melden Teilen Geschrieben 4. Dezember 2020 Prinzipell lässt sich zwischen VPN und einer Remote-Desktop Lösung unterscheiden. In einem VPN hängt der Client mehr oder weniger im internen Netz. D.h. eine Malware kann per Netzwerk Angriffen sich weiter bewegen. Bei allen Remote-Desktop Lösungen (Citrix, MS RDP, VMWare, Teamviewer,...) gibt es nur ein Protokoll / Port, welcher eine Verbindung ins interne Netz hat. Hier muss die Malware eine Schwachstelle in diesem Protokoll finden und ausnutzen um weiter zu kommen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 5. Dezember 2020 Melden Teilen Geschrieben 5. Dezember 2020 VPN von einem "untrusted device" geht gar nicht. ym2c... 1 Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 5. Dezember 2020 Melden Teilen Geschrieben 5. Dezember 2020 GGf. kann man über die Firewall "etwas" Sicherheit verschaffen, das hängt aber von der Firewall und dem VPN-Client ab. Palo Alto bietet z. Bsp. die Möglichkeit das der Zugriff nur mit aktuellem Virenscanner Zugriff gewährt. Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 6. Dezember 2020 Melden Teilen Geschrieben 6. Dezember 2020 Am 4.12.2020 um 06:28 schrieb Janguru: Wenn ein Computer außerhalb des Firmennetzwerks über das klassische VPN mit einem Firmennetzwerk verbunden ist, ist es doch so, als ob dieser Computer sich in der Firma physisch befindet und mit einem Netzwerkkabel verbunden wäre. Korrekt? Hier sollte man nochmal 2 unterschiedliche Ansätze differenzieren.Layer 2 VPN: Hier wird der VPN Client direkt in das LAN getunnelt und verhält sich so wie du oben beschrieben hast.Layer 3 VPN (eigentlich der Standard): Hier besteht für die VPN Clients ein eigenes IP Netz, womit sie sich verbinden. Über eine Firewall kann dann genau festgelegt werden welche Kriterien erfüllt sein müssen damit ich von A nach B komme. So kann ich dann deutlich restriktivere Regeln für den Fernzugriff festlegen. vor 15 Stunden schrieb djmaker: Palo Alto bietet z. Bsp. die Möglichkeit das der Zugriff nur mit aktuellem Virenscanner Zugriff gewährt. Sowas bietet die Sophos XG mit Synchronized Security auch an. Das jetzt mal nur so ganz allgemein. In diesem Zusammenhang kann man natürlich noch deutlich weiter gehen und ggf. auch über einen Network Policy Server die Authentifizierung des Clients abwickeln. Dort kann dann noch weiter definiert werden ob z.B. nur AD Computer sich verbinden dürfen, usw. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.