Jump to content

VPN versus Teamviewer?


Direkt zur Lösung Gelöst von Sunny61,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich "streite" mich gerade mit einem externen Dienstleister der Anwendungen auf 3 Server betreut. Habe ihn einen Teamviewer Zugriff geben. Jetzt ist wieder die Diskussion dass er einen VPN Zugriff haben will. Nach meinem Verständnis befindet er sich mit VPN direkt bei uns im Netz. Auch wenn bei denen im Netzwerk ein Client von irgendwas befallen, wird kann der sich doch über das Netz und damit auch in unser Netz einschleppen oder sogar, wenn mitarbeiter vom Homeoffice aus arbeiten. Gab ja genug Schwachstellen die auf RDP usw. los gegangen sind.
Per Teamviewer wird ja nur das Bild über bestimmte Ports übertragen wodurch sich doch die Angriffsfläche um einiges verringert.

Wie sieht ihr das oder bin ich zu paranoid?

Vielen Dank!

Link zu diesem Kommentar

Lässt sich schon so machen dass ich sage von dem vpn user nur Zugriff auf Server und nur RDP Port aber genau der RDP port war doch immer wieder so anfällig? Klapperten nicht die Schadprogramme alle IP´s ab und eben dann auch die mit dem Rechner verbundenen VPN Verbindungen? Findet den Server uns ist drin.
Die sind eben der Meinung das Teamviewer und VPN das selbe ist: ist es meiner Meinung nach nicht.

Neige eh dazu es vorzuschreiben. Es geht einfach um die Haftung. Falls darüber was reinkommt ist das ein Wahnsinniger Aufwand zu "Beweisen" das es von da kommt. Ich kenn auch Spielchen mit gegenseitigen Schuldzuweisungen und schließlich muss ich das dann beheben.

Wollte nur sicher gehen dass das nicht das gleiche ist und eben mit Risks verbunden ist.

Link zu diesem Kommentar

Ich sehe das aus der Betreibersicht wie folgt.

Wenn es mehr Projekttätigkeiten sind wird eher Teamviewer o.ä. genutzt, da zum einen der Kunde mitschauen kann, was gemacht wird und das ganze Zeitlich abgestimmt ist.

Wenn aber Betrieb übernommen wird ist ein VPN einfacher. Hier möchte man ja u.U. unabhängig arbeiten. Hier muss man dem DL vertrauen und ggf. technische Lösungen einsetzen. Auch das Thema Haftung kann man vertraglich regeln.

Link zu diesem Kommentar

Kommt auch etwas aufs interne KnowHow drauf an. Teamviewer ist halt sehr trivial im Management. Aus technischer Sicht gefällt mir nicht, dass die Applikation mittlerweile brutal aufgeblasen ist und somit auch sicher ein paar Löcher aufweist. Mir würde da würklich der primitive Bildschirm-Tastatur-Maus Transfer genügen. Die haben in der Pandemie aber soviel verdient, dass vielleicht auch etwas in die Code-Härtung geflossen ist. ;)

 

Ich machs meistens so:

  • Eine kleine Workstation für den externen DL die im Netz hängt (zum Beispiel mich). Die WS kann je nach Art des DS auch eine VM sein
  • Darauf Teamviewer oder dem DL sein Remotetools installiert
  • Die Workstation kommt entweder übers "normale" Netz oder via eigenem Mobilfunk-Router ins Internet. Letzteres hat den Vorteil, das auch Probleme mit dem Internet gelöst oder zumindest erkannt werden können.

Der Kunde kann somit immer schauen was die DL so treiben. Schafft Vertrauen und Transparenz. Egal ob sie es verstehen was getrieben wird oder nicht.

 

Damit die Verbindung eben nur auf Wunsch des Kunden erstellt werden kann und nicht permanent, verwende ich zwei Varianten. Manchmal auch kombiniert.

  • ganz klassisch wie im Maschinenbereich üblich einen Schalter um z.B. die Stromversorgung des Routers oder des Switches zwischen Router und PC zu kappen
  • zwei kleine Scripts (Achtung, keine änderungsrechte für Nicht-Admins!) die per Taskplaner mit höheren Rechten gestartet werden können - auch von Usern - welche die Zulassungsregeln für Teamviewer oder Remote-Tool des Herstellers innerhalb der Windows-Firewall aktivieren oder deaktivieren. Zwei Verknüpfungen auf den Desktop welche die Tasks starten können, fertig. In der Nacht läuft dann automatisch das Trennen-Script wenn es vergessen wurde.

 

Für die elektrische Trennung

  • Schlüsselschalter
  • wenn täglich erlaubt, z.Bsp. ein Zentfenster mit einer 0815 Zeitschaltuhr
  • ein PowerSwitch den man softwaremässig steuern kann (z.B. Net IO) z.Bsp. auch mit Scripts
  • Ein Taster welcher den Schütz mittels Timer-Relay anzieht. Das Relay deaktiviert nach einer bestimmten Zeit dann den Schütz und somit die Stromversorgung. Löst das Problem der Leute, die den Schlüsselschalter aus bequemlichkeit immer auf 1 lassen. Kann man auch mit dem Schlüssel kombinieren. Ist für jeden verständlich, Taster leuchtet = Zugriff erlaubt, Taster leuchtet nicht, Zugriff nicht erlaubt).

 

Die Abneigung gegen VPN ist bei mir ähnlich gross wie gegen WLAN. Wird nur getoppt durch betriebsfremde USB-Sticks. Ist mir schlicht zu komplex in der Absicherung und etwas mehr das ich pflegen müsste, ohne dass ich einen echten Mehrwert in den Umgebungen hätte die ich pflege.

Dann mag ich halt einfach keine fremden Arbeitsstationen direkt im Netz mit denen ein DL auch bei anderen Kunden rumschwirrt. Die sollen möglichst mit internen Maschinen arbeiten. Mir fällt da immer die Story unseres Tierarztes ein, der meinte, seine Berufsgattung sei in der Regel hauptschuldig für die Verbreitung von Tierseuchen. Man geht von Stall zu Stall und vernachlässigt oft die Hygiene bewusst- weils mühsam ist - oder unbewusst und verteilt so munter die ganzen Viren, Bakterien und sonstigen Schädlinge. Danach wundert man sich, wie sich eine Seuche so schnell verbreiten konnte. Da war der Vergleich zu unserer Branche nicht weit. Im Maschinenbereich leider nicht ganz so einfach durchzusetzen wegen deren sehr spezifischen und sehr teuren Programmen. ;)

Link zu diesem Kommentar
Am 27.4.2023 um 09:20 schrieb Thomas Maggnussen:

Nach meinem Verständnis befindet er sich mit VPN direkt bei uns im Netz. Auch wenn bei denen im Netzwerk ein Client von irgendwas befallen, wird kann der sich doch über das Netz und damit auch in unser Netz einschleppen oder sogar, wenn mitarbeiter vom Homeoffice aus arbeiten. Gab ja genug Schwachstellen die auf RDP usw. los gegangen sind.

Am 27.4.2023 um 13:02 schrieb NorbertFe:

Gibt schließlich auch VPN Lösungen die nur bestimmte Ziele und Protokolle zulassen, je nachdem was man braucht.

Sehe ich auch so. 

 

Am 27.4.2023 um 14:23 schrieb Thomas Maggnussen:

Lässt sich schon so machen dass ich sage von dem vpn user nur Zugriff auf Server und nur RDP Port aber genau der RDP port war doch immer wieder so anfällig?

Macht Ihr keine regelmäßigen und zeitnahen Windows Updates ;-)

 

Ich persönlich würde mich für VPN aussprechen. Hier gibt es bessere Möglichkeiten die Telemetrie abzugreifen, Kommunikationsports selbst festzulegen und zu analysieren, falls man es denn auch tut ;) Das Risiko eines Dienstleisters auf dem Server hast du so oder so.

 

Die Zeiten das man mit einer externen Firewall geschützt ist, sind rum. Interne Maßnahmen sind alternativlos, außer man möchte es strategisch nutzen, um Geld von der GF für eine Erneuerung der Serverlandschaft zu bekommen :D 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...