6
Heimarbeitsplatz sicher gestalten
Hallo zusammen,
habe folgendes Problem: Ich habe einen Mitrabeiter, der über einen Heimarbeitsplatz angebunden werden soll.
Das selbst ist keine Problem, kann mich selbst über VPN anmelden und von daheim aus arbeiten.
Da aber der Rechner von uns gestellt wird, soll nur eine VPN-Verbindung mit unserem WIN2003 DC und den Netzlaufwerken
möglich sein. Sonstige Internetverbindungen sollen komplett verboten werden. Hintergrund ist dass dieser Mitarbeiter
womöglich privat im Internet surft was er natürlich nicht soll.
Der Mitarbieter hat einen eigenen DSL Anschluß. Wir haben ein WIN2003 SBS mit ca. 20 Clients intern im Netz.
hat jemand eine Idee wie man so einen Heimarbeitsplatz so abschotten kann dass wirklich nur eine Verbindung zum
Netzwerk möglich ist? Da dies ein Versuch ist, sollte es natürlich auch so wenig wie möglich kosten.
Danke schonmal vorab und viele Grüße
Andreas
habe folgendes Problem: Ich habe einen Mitrabeiter, der über einen Heimarbeitsplatz angebunden werden soll.
Das selbst ist keine Problem, kann mich selbst über VPN anmelden und von daheim aus arbeiten.
Da aber der Rechner von uns gestellt wird, soll nur eine VPN-Verbindung mit unserem WIN2003 DC und den Netzlaufwerken
möglich sein. Sonstige Internetverbindungen sollen komplett verboten werden. Hintergrund ist dass dieser Mitarbeiter
womöglich privat im Internet surft was er natürlich nicht soll.
Der Mitarbieter hat einen eigenen DSL Anschluß. Wir haben ein WIN2003 SBS mit ca. 20 Clients intern im Netz.
hat jemand eine Idee wie man so einen Heimarbeitsplatz so abschotten kann dass wirklich nur eine Verbindung zum
Netzwerk möglich ist? Da dies ein Versuch ist, sollte es natürlich auch so wenig wie möglich kosten.
Danke schonmal vorab und viele Grüße
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103777
Url: https://administrator.de/contentid/103777
Printed on: April 18, 2024 at 08:04 o'clock
6 Comments
Latest comment
Wie wird bei Euch die VPN-Verbindung aufgebaut?
Wenn ich es richtig interpretiere, wird ein Stück Software gestartet, welches zu Eurer externen VPN-IP-Adresse eine Verbindung aufbaut um dann auf dieser Verbindung einen Tunnel zu installieren.
Der DSL-Anschluss gehört dem Mitarbeiter und ist für Euch ausserhalb der Administration. (Ich kann Dir jetzt schon sagen dass die Leute sich bei Euch beklagen wenn ihr DSL ned geht).
Ich würds entweder über eine Firewall oder über Routeneinträge machen, die dann nur eine Verbindung in den (hoffentlich privaten) IP-Bereich der Firma, zum Router und zur öffentlichen IP-Adresse der VPN-Gegenstelle zulassen.
Wenn ich es richtig interpretiere, wird ein Stück Software gestartet, welches zu Eurer externen VPN-IP-Adresse eine Verbindung aufbaut um dann auf dieser Verbindung einen Tunnel zu installieren.
Der DSL-Anschluss gehört dem Mitarbeiter und ist für Euch ausserhalb der Administration. (Ich kann Dir jetzt schon sagen dass die Leute sich bei Euch beklagen wenn ihr DSL ned geht).
Ich würds entweder über eine Firewall oder über Routeneinträge machen, die dann nur eine Verbindung in den (hoffentlich privaten) IP-Bereich der Firma, zum Router und zur öffentlichen IP-Adresse der VPN-Gegenstelle zulassen.
Die VPN Verbindung wird über das Tool was SBS2003 mitliefert hergestellt.
Natürlich gehört der DSL Anschluß dem Mitarbeiter, aber der Rechner gehört uns und soll nur dafür genutzt werden können.
Wenn er surfen will, soll er seinen eigenen nehmen. Sonst wird nämlich aus bequemlichkeit gern der PC der Firma genommen,
vor allem während der Arbeitszeit.
Also soll alles an Traffic über den SBS gehen, auch der Internetverkehr.
natürlich kann ich die VPN-Verbindung in den Autostart schieben, wenn ihn jedoch der Mitarbeiter während der Verbindung abbricht hat
er vollen Internetzugang. Das Problem sehe ich an der Stelle des DSL-Routers zu dem die Netzwerkkarte ja verbunden sein muss und ja auch
als Gateway den DSL-Router eingetragen haben muss. Wie könnte ich da eine Verbindung ins Internet unterbinden? Internet muss ja für die VPN da sein.
Natürlich gehört der DSL Anschluß dem Mitarbeiter, aber der Rechner gehört uns und soll nur dafür genutzt werden können.
Wenn er surfen will, soll er seinen eigenen nehmen. Sonst wird nämlich aus bequemlichkeit gern der PC der Firma genommen,
vor allem während der Arbeitszeit.
Also soll alles an Traffic über den SBS gehen, auch der Internetverkehr.
natürlich kann ich die VPN-Verbindung in den Autostart schieben, wenn ihn jedoch der Mitarbeiter während der Verbindung abbricht hat
er vollen Internetzugang. Das Problem sehe ich an der Stelle des DSL-Routers zu dem die Netzwerkkarte ja verbunden sein muss und ja auch
als Gateway den DSL-Router eingetragen haben muss. Wie könnte ich da eine Verbindung ins Internet unterbinden? Internet muss ja für die VPN da sein.
Hi,
also ich würde einfach eine Software auf dem VPN-Server intallieren die die Internetverbindung unteragt. (Kindersicherung)
Mfg
also ich würde einfach eine Software auf dem VPN-Server intallieren die die Internetverbindung unteragt. (Kindersicherung)
Mfg
Der Tipp von daa498 ist natürlich Blödsinn, denn er kann ja mit dem MS VPN Client immer über das lokale Netzwerk ins Internet.
Der VPN Client von MS ist dafür generell nicht geeignet, da er auch in sich unsicher ist.
Du benötigst so etwas wie z.B. den Cisco VPN Client oder generell einen VPN Client der dir sowie er aktiv ist (als eingewählt) sämtliche lokalen Netzwerkverbindungen blockiert.
Damit ist dan jeglicher lokaler Netzwerkverkehr wie auch immer geartet unmöglich solange eine VPN Verbindung aktiv ist.
Das wäre dann einigermassen sicher...ganz aber auch nicht. Wenn der Kollege kann ja immer eine USB Stick nutzen oder mobile Festplatten und Schadsoftware auf den Rechner bringen die dann darüber ins Firmennetz wandert.
Was passiert denn wenn er nicht ber VPN aktiv ist, dann kann er problemlos das Internet nutzen, den Rechner kompromitieren und sowie er wieder eine VPN Verbindung aktiv hat das Firmennetz schädigen...
Sowas bekommst du nur mit einer gescheiten Firewall und einer DMZ im Firmennetz in den Griff !
Der VPN Client von MS ist dafür generell nicht geeignet, da er auch in sich unsicher ist.
Du benötigst so etwas wie z.B. den Cisco VPN Client oder generell einen VPN Client der dir sowie er aktiv ist (als eingewählt) sämtliche lokalen Netzwerkverbindungen blockiert.
Damit ist dan jeglicher lokaler Netzwerkverkehr wie auch immer geartet unmöglich solange eine VPN Verbindung aktiv ist.
Das wäre dann einigermassen sicher...ganz aber auch nicht. Wenn der Kollege kann ja immer eine USB Stick nutzen oder mobile Festplatten und Schadsoftware auf den Rechner bringen die dann darüber ins Firmennetz wandert.
Was passiert denn wenn er nicht ber VPN aktiv ist, dann kann er problemlos das Internet nutzen, den Rechner kompromitieren und sowie er wieder eine VPN Verbindung aktiv hat das Firmennetz schädigen...
Sowas bekommst du nur mit einer gescheiten Firewall und einer DMZ im Firmennetz in den Griff !
Ne DMZ beim Mitarbeiter mit DSL aufzubauen halte ich für "mit Kanonen auf Spatzen schiessen"
Aber der Rechner kann sicher so konfiguriert werden, evtl auch mit Hilfe einer Softwarefirewall, dass die einzigen erreichbaren IPs die öffentliche IP des VPN-Routers in der Firma und das VPN-Netz sind.
In wiefern der Rechner dann gegen das Aufspielen von Schadsoftware gesichert wird ist dann ein zweites Problem.
Aber der Rechner kann sicher so konfiguriert werden, evtl auch mit Hilfe einer Softwarefirewall, dass die einzigen erreichbaren IPs die öffentliche IP des VPN-Routers in der Firma und das VPN-Netz sind.
In wiefern der Rechner dann gegen das Aufspielen von Schadsoftware gesichert wird ist dann ein zweites Problem.
Danke erst mal für die Antowrten.
Die einzig praktikable Lösung ist aber ein Thin Client. Da wir hier über einen Citrix verfügen kommen auch keine zusätzlichen finanziellen Belastungen auf uns zu. Der TC wird dann über WAN (DSL) an uns angebunden. Auf dem DSL-Router des Mitarbeiters sind ja noch genug Ports für seinen privaten Rechner frei, somit auch hier keine Probleme. Sollte lt. FSC und Bechtle problemlos funktionieren.
Und für den Support und die Administration gibt es glaub keine einfachere Lösung. Ist zentral über unseren Virenschutz abgesichert, Firwallregeln von der Firma und vor allem vor unbefugten installieren. Gerade bei letzterem zeigt sich in der Realität, dass selbst ein einfacher Benutzerstatus auf einem Rechner doch Setups ausführen lässt.
Vielen Dank allen
Andreas
Die einzig praktikable Lösung ist aber ein Thin Client. Da wir hier über einen Citrix verfügen kommen auch keine zusätzlichen finanziellen Belastungen auf uns zu. Der TC wird dann über WAN (DSL) an uns angebunden. Auf dem DSL-Router des Mitarbeiters sind ja noch genug Ports für seinen privaten Rechner frei, somit auch hier keine Probleme. Sollte lt. FSC und Bechtle problemlos funktionieren.
Und für den Support und die Administration gibt es glaub keine einfachere Lösung. Ist zentral über unseren Virenschutz abgesichert, Firwallregeln von der Firma und vor allem vor unbefugten installieren. Gerade bei letzterem zeigt sich in der Realität, dass selbst ein einfacher Benutzerstatus auf einem Rechner doch Setups ausführen lässt.
Vielen Dank allen
Andreas
