VPN Infrastruktur

[firefox80 10]

Meine Frage an euch bezieht sich auf Sicherheit und VPN:

 

Angenommen eine SMB Firma wird mit einem VPN Router ausgestattet. Dieser hat selbst VPN Server Funktionalität mit IPSec (wie etwa der Linksys WRV54G)

 

Ist es notwendig weitere Vorkehrungen / Einrichtungen vorzunehmen, um eine akzeptable Datensicherheit zu erreichen?

Mir ist schon klar, dass es keine absolute Sicherheit geben kann :D

 

Mich würde halt interessieren, wie größere Firmen soetwas handhaben.

Schon klar, die würden keinen Linksys Router einsetzen ;) Aber davon abgesehen dass ein großes System für mehr Benutzer ausgelegt ist, muss die Technik doch vergleichbar sein oder?

[weg5st0 10]

Also ich halte ipsec für die zu bevorzugende Technik.

Aus dem Bauch raus würde ich davon abraten Windows als VPN Terminierung zu nehmen (gerade bei kleinen Firmen ist die Verlockung gross später mal statt einem weiteren Server irgendwelche Zusatzdienste auf dem VON-Gateway in Bterieb zu nehmen, was die Sicherheit beieinträchtigt).

Mit einem Router der ein ipsec-VPN terminiert bist du also schonmal ganz gut bedient.

 

Sicherheit ist immer eine Frage des Geldes. Wer nicht bereit ist Geld für Sicherheit auszugeben, bekommt auch keine Sicherheit.

 

Linksys Router kenne ich nicht. Bestimmt gibt es bessere VPN Lösungen. Was aber nicht heißen soll, daß die von Linksys schlecht ist oder nicht sicher.

[firefox80 10]

Welche VPN Router könntest du mir für den SMB Markt empfehlen?

 

Ich will die VPN Terminierung auch aus dem Grund am Router haben, da die Fernwartung des Servers vereinfacht wird. Wenn ich am Server einen Fehler mache und der keine VPN Verbindungen mehr entgegen nimmt ist schluss mit Remote-Administration ;)

 

Weil wir beim Thema Fernwartung sind:

Wie löst ihr das Problem mit dem Datenschutz?

Unterschreibt ihr ein Geheimhaltungsabkommen?

Sperrt ihr euch selbst aus bestimmten sensiblen Ordnern aus? (was ja aus technischer Sicht nicht viel Sinn macht und ausserdem leicht zu umgehen ist)

Oder verzichtet ihr komplett auf Fernwartung und macht alles Vor-Ort?

 

Kann ich auf einem Windows Server erkennen, ob sich ein User per Vpn eingewählt hat (die o.g. Router Lösung) und dann entsprechende Berechtigungen vergeben?

[joogy21 10]

Hi,

 

also rein aus sicherheitstechnischen Gründen würde ich dir eine Hardwarefirewall z.B. von Watchguard oder Sonicwall empfehlen. Die können VPN und unterstützen auch die neuesten Verschlüsselungsprotokolle wie EAP-TLS und MS-CHAP V.2.

Weiterhin ist sicherlich ein RADIUS-Server, der nicht in der Domäne steht zur Authentifizierung recht hilfreich. Hast du dann einen VPN-Tunnel aufgebaut gehst du einfach remote auf deinen Server.

 

Auf dem Server siehst du, wer remote darauf zugreift (Arbeitsplatz verwalten->Freigegebene Ordner->Sitzungen).

 

Auf den Hardwarefirewalls siehst du welche VPN-Verbindung gerate aktiv ist.

 

 

Gruß

joggy21

[weg5st0 10]

neuesten Verschlüsselungsprotokolle wie EAP-TLS und MS-CHAP V.2.

MS Chapv2 ist zum einen nicht neu und zum anderen ein Authentifizierungsprotokoll

 

Weiterhin ist sicherlich ein RADIUS-Server, der nicht in der Domäne steht

Wozu soll der helfen, dann kann er auch die in der Firewall eingebaute User-DB verwenden.

 

Aber mit den HW-Empfehlungen hast du recht.

Ist halt ne Budget Frage.

 

Wie löst ihr das Problem mit dem Datenschutz?

Unterschreibt ihr ein Geheimhaltungsabkommen?

Sperrt ihr euch selbst aus bestimmten sensiblen Ordnern aus? (was ja aus technischer Sicht nicht viel Sinn macht und ausserdem leicht zu umgehen ist)

Oder verzichtet ihr komplett auf Fernwartung und macht alles Vor-Ort?

 

Also auf Fernwartung verzichte ich auf keinen Fall, allein schon weil die Anfahrt zu manchen Kunden 7 Std. dauert :)

Eine Geheimhaltungsverpflichtung sollte immer bestehen. Auch wenn du das vor Ort machst.

 

Aussperren etc. halte ich für zu aufwendig. Dazu ist die Verpflichtung da.

[eagleeye 10]

Thema Geheimhaltungsverpflichtung interessiert mich sehr. Wenn Ihr die mit dem Kunden abschließt, was steht da dann drin, denke das ist ja auch ein rechtliches Problem. Läuft es gegen die Boardrichtlinien, wenn ihr da mal n Beispiel für so eine Geheimhaltungsverpflichtung postet?

[IThome 10]

Ich kann Dir auch nur Watchguard empfehlen (X-Core oder X-Core E-Series) . Das sind schöne Security Appliances, die auch auf Application-Layer filtern können, die IPS/Gateway-Antivirus/Anti-Spam/Webblocker/HA und natürlich IPSec/PPTP Tunnel unterstützen. Weiterhin wirst Du, bei aktivierter Live-Security, sicherheitstechnisch auf dem neuesten Stand gehalten und hast auch einen speziellen Ansprechpartner, wenn mal was nicht klappt (und das ist nicht zu verachten) ...

[eagleeye 10]

Bzgl. VPN Hardware gibts aus dem Hause Panda was ganz Neues. Der GateDefender Integra. Vorteil bei der Geschichte ist, daß neben der VPN/Firewall Funktionalität auch noch ein richtig guter Antiviren- / Spywareschutz besteht. (Testsieger)Was mich überzeugt hat ist die Tatsache, daß man nicht für jeden VPN Client zahlen muß und der Service hat einen riesen Vorteil im Vergleich zu Sonicwall und Watchguard. Man erreicht ihn :-)

[IThome 10]

Ich hab noch nie Probleme gehabt, den Watchguard-Service zu erreichen ... :) Aber jeder hat da so seine Favoriten ... ;)

[rakli 13]

Hallo firefox80,

 

ich habe gute Erfahrungen mit sonicwall gemacht, läuft sehr stabil, gute VPN Funktionalität.

Nur beim remote Access gibt es einen Haken, die remote user müssen auf der firewall angelegt werden, eine Authentifizierung per ADS gibt es nicht.

 

Gruss Rakli

[eagleeye 10]

@rakli

Die Erfahrungen mit der sonicwall hab ich auch gemacht, ich kann aber noch besser schlafen, wenn ich weiß, daß mein Router auch Malware bestens entsorgt: s.o. Panda GateDefender Integra.

[firefox80 10]

Danke für die Zahlreichen Infos!

 

Ist bei den genannten Produkten auch eine Authentifizierung der VPN Nutzer über Radius möglich? Das würde ja dann die doppelte Benutzerführung verhindern.

 

Gibt es Möglichkeiten die Rechte eines Benutzers noch weiter einzuschränken wenn er über remote angemeldet ist?

 

Zum Gateway Antivirus:

Angenommen die User bringen keine Viren durch CDs USB Sticks oder ähnliches ein, welche Gründe sprechen trotzdem noch dafür einen Antivirus auf jedem Rechner zu installieren?

[XP-Fan 220]

Angenommen die User bringen keine Viren durch CDs USB Sticks oder ähnliches ein, welche Gründe sprechen trotzdem noch dafür einen Antivirus auf jedem Rechner zu installieren?

 

 

Sowas gibts wirklich ? KEIN Rechner hat CD / DVD , USB oder Diskettenlaufwerk eingebaut ?

 

Also kurz und knapp: Ich halte es für suizid keinen Virenschutz auf einem Rechner zu haben,

welcher in einem Netzwerk hängt und womöglich noch Internetzugang hat. :suspect:

 

In meinen Augen macht es sogar durchaus Sinn einen mehrstufigen Schutz verschiedener

Hersteller einzusetzen, um so verschiedene Scanengines und einen größmöglichen

Schutz für das Produktivsystem zu haben.

[IThome 10]

Danke für die Zahlreichen Infos!

 

Ist bei den genannten Produkten auch eine Authentifizierung der VPN Nutzer über Radius möglich? Das würde ja dann die doppelte Benutzerführung verhindern.

 

Gibt es Möglichkeiten die Rechte eines Benutzers noch weiter einzuschränken wenn er über remote angemeldet ist?

 

Zum Gateway Antivirus:

Angenommen die User bringen keine Viren durch CDs USB Sticks oder ähnliches ein, welche Gründe sprechen trotzdem noch dafür einen Antivirus auf jedem Rechner zu installieren?

Watchguard bietet interne Authentifizierung, RADIUS, Active Directory, Secure ID und LDAP Authentifizierung. Mit leistungsfähigen Tunnelregeln bzw. Firewallfiltern kann man den Remoteuser so einschränken, wie es notwendig ist.

Zum Thema Virenschutz stimme ich XP-Fan zu ...

[firefox80 10]

War auch mehr als "rein theoretisch" zu verstehen ;)

Schützt ein derartiges System vor allem was aus dem Internet kommt?

 

Bei Desktop antivirus scheint sich ja durchzusetzen mehrere engines in ein produkt zu integrieren. wie ist das bei den gateway lösungen?