10
Übergangslösung für Remote-Zugriff ohne VPN
Folgende Übungsaufgabe ist mir völlig unklar:
Das Intranet (162.18.0.0) einer mittelgrossen Industrie- und Handelsfirma hat sich eben erst von einem grösseren Schaden (Virus-Infektionen) erholt. Nun sieht der IT-Chef grünes Licht und ein anständiges Budget für die Modernisierung gewisser Teile der Infrastruktur. Er präsentiert folgenden Plan zur sofortigen Realisierung und bemerkt nebenbei, die Anwendungs-Server würden an ihren Orten im Intranet bleiben. Also:
1. Ausserbetriebnahme der Dial-In-Modems 2. Einrichtung einer Firewall mit zwei sehr restriktiven Paketfiltern 3. Proxies auschliesslich für HTTP, HTTPS und SMTP 4. VPN (auf IPSec-Basis)
Bei der konkreten Umsetzung zeigt sich, das Punkt 4 wegen Unklarheiten bei der Produkt- wahl (PKI-Lösung versus SecureId) eine Verzögerung von über einem Jahr erleiden wird. Die Leute, welche einen Remote-Zugriff auf verschiedenste Server und Applikationen benötigen, werden bereits ungeduldig. Die Chef-Etage verweigert jedoch aufgrund berech- tigter Sicherheitsbedenken sowohl das Belassen der Modems als auch eine weitergehende und unkontrollierbare Durchlöcherung der Paketfilter.
a) Machen Sie einen tauglichen Vorschlag zur Überbrückung der Zeit bis zur VPN-Lösung. Formulieren Sie diesen in ein paar knappen aber präzisen Worten.
Habt ihr mit einige Tips oder Hinweise?
Vielen Dank für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133752
Url: https://administrator.de/contentid/133752
Printed on: April 16, 2024 at 20:04 o'clock
10 Comments
Latest comment
kein VPN?
Wie wärs dann mit Remotedesktop? meinetwegen über XP selbst oder VNC?
Wie wärs dann mit Remotedesktop? meinetwegen über XP selbst oder VNC?
Hm, das müsste ich wohl schreiben, aber irgendwie kann ich mir nicht vorstellen, dass der Dozent das hören möchte. Hat jemand noch andere Ideen?
Wie währ's mit im Unterricht aufpassen?
Die Frage die sich stellt ist das was vorhanden ist, was die Vertriebler genau machen und wie viel Geld für die Übergangslösung bereitgestellt werden kann.
Aber von der Art her wird's sich auf einen Terminalserver raus laufen (wird man vermutlich sowieso brauchen).
Auf grund des Sicherheitsgedanken würd ich dann aber auch noch gleich Open VPN mit oder sowas installieren da egal wie die VPN Diskussion ausgeht das immer noch sicherer ist als nur RDP
Die Frage die sich stellt ist das was vorhanden ist, was die Vertriebler genau machen und wie viel Geld für die Übergangslösung bereitgestellt werden kann.
Aber von der Art her wird's sich auf einen Terminalserver raus laufen (wird man vermutlich sowieso brauchen).
Auf grund des Sicherheitsgedanken würd ich dann aber auch noch gleich Open VPN mit oder sowas installieren da egal wie die VPN Diskussion ausgeht das immer noch sicherer ist als nur RDP
zwei alte maschine ausm keller holen, pfsense installieren, ha modus aktivieren
-> glücklich sein.
-> glücklich sein.
Ja, da hast du recht ;)
Die Frage die sich stellt ist das was vorhanden ist, was die Vertriebler genau machen und wie viel Geld für die
Übergangslösung bereitgestellt werden kann.
Aber von der Art her wird's sich auf einen Terminalserver raus laufen (wird man vermutlich sowieso brauchen).
Auf grund des Sicherheitsgedanken würd ich dann aber auch noch gleich Open VPN mit oder sowas installieren da egal wie die
VPN Diskussion ausgeht das immer noch sicherer ist als nur RDP
Übergangslösung bereitgestellt werden kann.
Aber von der Art her wird's sich auf einen Terminalserver raus laufen (wird man vermutlich sowieso brauchen).
Auf grund des Sicherheitsgedanken würd ich dann aber auch noch gleich Open VPN mit oder sowas installieren da egal wie die
VPN Diskussion ausgeht das immer noch sicherer ist als nur RDP
Danke!
Also du meinst, auch später mit VPN benötigt man einen Terminalserver? Welche Argumente sprechen denn dafür?
Zitat von @45877:
zwei alte maschine ausm keller holen, pfsense installieren, ha modus aktivieren
-> glücklich sein.
Das wäre dann in der IT-Sprache auch ein Terminalserver, richtig?zwei alte maschine ausm keller holen, pfsense installieren, ha modus aktivieren
-> glücklich sein.
Zitat von @belimo:
> Zitat von @wiesi200:
> ----
> Wie währ's mit im Unterricht aufpassen?
Ja, da hast du recht ;)
> Die Frage die sich stellt ist das was vorhanden ist, was die Vertriebler genau machen und wie viel Geld für die
> Übergangslösung bereitgestellt werden kann.
> Aber von der Art her wird's sich auf einen Terminalserver raus laufen (wird man vermutlich sowieso brauchen).
> Auf grund des Sicherheitsgedanken würd ich dann aber auch noch gleich Open VPN mit oder sowas installieren da egal wie
die
> VPN Diskussion ausgeht das immer noch sicherer ist als nur RDP
Danke!
> Zitat von @wiesi200:
> ----
> Wie währ's mit im Unterricht aufpassen?
Ja, da hast du recht ;)
> Die Frage die sich stellt ist das was vorhanden ist, was die Vertriebler genau machen und wie viel Geld für die
> Übergangslösung bereitgestellt werden kann.
> Aber von der Art her wird's sich auf einen Terminalserver raus laufen (wird man vermutlich sowieso brauchen).
> Auf grund des Sicherheitsgedanken würd ich dann aber auch noch gleich Open VPN mit oder sowas installieren da egal wie
die
> VPN Diskussion ausgeht das immer noch sicherer ist als nur RDP
Danke!
RDP könnte man alternativ auch noch über HTTPS anbinden. Wobei ich jetzt nicht wirklich sagen kann wie sicher das ist.
Also du meinst, auch später mit VPN benötigt man einen Terminalserver? Welche Argumente sprechen denn dafür?
Wie gesagt um eine genaue Aussage zu treffen müsste man GENAUE Anforderungen kennen. Aber eine mittelgroße Industrie- und Handelsfirma hat typischerweise ein ERP System meist auf SQL Basis und die wenigsten haben ein Webfrontend und die normalen Frontends streiken bzw. sind sau langsam wenn man über eine normale Internetleitung drauf zugreift.
RDP könnte man alternativ auch noch über HTTPS anbinden. Wobei ich jetzt nicht wirklich sagen kann wie sicher das ist.
Wäre sicher eine gute Antwort im Stil einer Option je nach den genaueren Anforderungen, die in der Aufgabe ja nicht stehen.
Frontends streiken bzw. sind sau langsam wenn man über eine normale Internetleitung drauf zugreift.
Ach so, vielen Dank.
Remote Desktop ist technisch wohl eher eine der unsichersten Lösungen - betrachtet man dann noch die aktuellen SSL / HTTPS Vulnerabilities, so ist aus meiner Sicht weder mit RDP noch über HTTPS oder gar OpenSSL eine wirklich sichere Verbindung herzustellen.
Jede Form der direkten Verbindung in das Unternehmensnetzwerk hinein ist theoretisch unsicher bzw. angreifbar. OpenSSL war vom o. a. Bug betroffen (wurde bisher "nur" gepatched), auf links.org gibt es eine interessante Abhandlung zum Thema "Is SSL enough" mit dem Nachsatz: "... I do not see how any modern, well-designed authentication protocol could be that way."
Es gibt jedoch durchaus sichere Alternativen zu VPNs, die auf Applikationsebene konnektieren, lock to process verwenden und auf Basis einer Client/Server Verbindung arbeiten, so dass der externe PC nur über das Loopback auf seine Zielanwendung gebunden wird. So ist er niemals Mitglied im (entfernten) Netzwerk und benötigt weder "unsichere" Browser bzw. Plugins noch eine VPN für den Verbindungsaufbau.
Jede Form der direkten Verbindung in das Unternehmensnetzwerk hinein ist theoretisch unsicher bzw. angreifbar. OpenSSL war vom o. a. Bug betroffen (wurde bisher "nur" gepatched), auf links.org gibt es eine interessante Abhandlung zum Thema "Is SSL enough" mit dem Nachsatz: "... I do not see how any modern, well-designed authentication protocol could be that way."
Es gibt jedoch durchaus sichere Alternativen zu VPNs, die auf Applikationsebene konnektieren, lock to process verwenden und auf Basis einer Client/Server Verbindung arbeiten, so dass der externe PC nur über das Loopback auf seine Zielanwendung gebunden wird. So ist er niemals Mitglied im (entfernten) Netzwerk und benötigt weder "unsichere" Browser bzw. Plugins noch eine VPN für den Verbindungsaufbau.
Zitat von @tom27b:
Remote Desktop ist technisch wohl eher eine der unsichersten Lösungen - betrachtet man dann noch die aktuellen SSL / HTTPS
Vulnerabilities, so ist aus meiner Sicht weder mit RDP noch über HTTPS oder gar OpenSSL eine wirklich sichere Verbindung
herzustellen.
Jeder Zugriff von auserhalb wird irgendwo ein Sicherheitsrisiko darstellen. Die frage ist dann ob sich der aufwand den jemand zum eindringen braucht auch den Nutzen Wert ist?Remote Desktop ist technisch wohl eher eine der unsichersten Lösungen - betrachtet man dann noch die aktuellen SSL / HTTPS
Vulnerabilities, so ist aus meiner Sicht weder mit RDP noch über HTTPS oder gar OpenSSL eine wirklich sichere Verbindung
herzustellen.
Es gibt jedoch durchaus sichere Alternativen zu VPNs, die auf Applikationsebene konnektieren, lock to process verwenden und auf
Basis einer Client/Server Verbindung arbeiten, so dass der externe PC nur über das Loopback auf seine Zielanwendung gebunden
wird. So ist er niemals Mitglied im (entfernten) Netzwerk und benötigt weder "unsichere" Browser bzw. Plugins noch
eine VPN für den Verbindungsaufbau.
Währ aber aus meiner Sicht aus interessant wenn du das ganze etwas genauer ausführst.
Danke
