Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Heimarbeitsplatz sicher gestalten

Frage Netzwerke

Mitglied: Clusterworld

Clusterworld (Level 1) - Jetzt verbinden

10.12.2008, aktualisiert 12.12.2008, 4566 Aufrufe, 6 Kommentare

Hallo zusammen,

habe folgendes Problem: Ich habe einen Mitrabeiter, der über einen Heimarbeitsplatz angebunden werden soll.
Das selbst ist keine Problem, kann mich selbst über VPN anmelden und von daheim aus arbeiten.

Da aber der Rechner von uns gestellt wird, soll nur eine VPN-Verbindung mit unserem WIN2003 DC und den Netzlaufwerken
möglich sein. Sonstige Internetverbindungen sollen komplett verboten werden. Hintergrund ist dass dieser Mitarbeiter
womöglich privat im Internet surft was er natürlich nicht soll.

Der Mitarbieter hat einen eigenen DSL Anschluß. Wir haben ein WIN2003 SBS mit ca. 20 Clients intern im Netz.

hat jemand eine Idee wie man so einen Heimarbeitsplatz so abschotten kann dass wirklich nur eine Verbindung zum
Netzwerk möglich ist? Da dies ein Versuch ist, sollte es natürlich auch so wenig wie möglich kosten.

Danke schonmal vorab und viele Grüße

Andreas
Mitglied: lobotomie
10.12.2008 um 16:54 Uhr
Wie wird bei Euch die VPN-Verbindung aufgebaut?

Wenn ich es richtig interpretiere, wird ein Stück Software gestartet, welches zu Eurer externen VPN-IP-Adresse eine Verbindung aufbaut um dann auf dieser Verbindung einen Tunnel zu installieren.

Der DSL-Anschluss gehört dem Mitarbeiter und ist für Euch ausserhalb der Administration. (Ich kann Dir jetzt schon sagen dass die Leute sich bei Euch beklagen wenn ihr DSL ned geht).

Ich würds entweder über eine Firewall oder über Routeneinträge machen, die dann nur eine Verbindung in den (hoffentlich privaten) IP-Bereich der Firma, zum Router und zur öffentlichen IP-Adresse der VPN-Gegenstelle zulassen.
Bitte warten ..
Mitglied: Clusterworld
10.12.2008 um 17:05 Uhr
Die VPN Verbindung wird über das Tool was SBS2003 mitliefert hergestellt.

Natürlich gehört der DSL Anschluß dem Mitarbeiter, aber der Rechner gehört uns und soll nur dafür genutzt werden können.
Wenn er surfen will, soll er seinen eigenen nehmen. Sonst wird nämlich aus bequemlichkeit gern der PC der Firma genommen,
vor allem während der Arbeitszeit.
Also soll alles an Traffic über den SBS gehen, auch der Internetverkehr.

natürlich kann ich die VPN-Verbindung in den Autostart schieben, wenn ihn jedoch der Mitarbeiter während der Verbindung abbricht hat
er vollen Internetzugang. Das Problem sehe ich an der Stelle des DSL-Routers zu dem die Netzwerkkarte ja verbunden sein muss und ja auch
als Gateway den DSL-Router eingetragen haben muss. Wie könnte ich da eine Verbindung ins Internet unterbinden? Internet muss ja für die VPN da sein.
Bitte warten ..
Mitglied: daa498
10.12.2008 um 21:15 Uhr
Hi,

also ich würde einfach eine Software auf dem VPN-Server intallieren die die Internetverbindung unteragt. (Kindersicherung)

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
11.12.2008 um 12:58 Uhr
Der Tipp von daa498 ist natürlich Blödsinn, denn er kann ja mit dem MS VPN Client immer über das lokale Netzwerk ins Internet.

Der VPN Client von MS ist dafür generell nicht geeignet, da er auch in sich unsicher ist.
Du benötigst so etwas wie z.B. den Cisco VPN Client oder generell einen VPN Client der dir sowie er aktiv ist (als eingewählt) sämtliche lokalen Netzwerkverbindungen blockiert.
Damit ist dan jeglicher lokaler Netzwerkverkehr wie auch immer geartet unmöglich solange eine VPN Verbindung aktiv ist.
Das wäre dann einigermassen sicher...ganz aber auch nicht. Wenn der Kollege kann ja immer eine USB Stick nutzen oder mobile Festplatten und Schadsoftware auf den Rechner bringen die dann darüber ins Firmennetz wandert.
Was passiert denn wenn er nicht ber VPN aktiv ist, dann kann er problemlos das Internet nutzen, den Rechner kompromitieren und sowie er wieder eine VPN Verbindung aktiv hat das Firmennetz schädigen...

Sowas bekommst du nur mit einer gescheiten Firewall und einer DMZ im Firmennetz in den Griff !
Bitte warten ..
Mitglied: lobotomie
12.12.2008 um 08:39 Uhr
Ne DMZ beim Mitarbeiter mit DSL aufzubauen halte ich für "mit Kanonen auf Spatzen schiessen"

Aber der Rechner kann sicher so konfiguriert werden, evtl auch mit Hilfe einer Softwarefirewall, dass die einzigen erreichbaren IPs die öffentliche IP des VPN-Routers in der Firma und das VPN-Netz sind.

In wiefern der Rechner dann gegen das Aufspielen von Schadsoftware gesichert wird ist dann ein zweites Problem.
Bitte warten ..
Mitglied: Clusterworld
12.12.2008 um 09:06 Uhr
Danke erst mal für die Antowrten.

Die einzig praktikable Lösung ist aber ein Thin Client. Da wir hier über einen Citrix verfügen kommen auch keine zusätzlichen finanziellen Belastungen auf uns zu. Der TC wird dann über WAN (DSL) an uns angebunden. Auf dem DSL-Router des Mitarbeiters sind ja noch genug Ports für seinen privaten Rechner frei, somit auch hier keine Probleme. Sollte lt. FSC und Bechtle problemlos funktionieren.

Und für den Support und die Administration gibt es glaub keine einfachere Lösung. Ist zentral über unseren Virenschutz abgesichert, Firwallregeln von der Firma und vor allem vor unbefugten installieren. Gerade bei letzterem zeigt sich in der Realität, dass selbst ein einfacher Benutzerstatus auf einem Rechner doch Setups ausführen lässt.

Vielen Dank allen
Andreas
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Off Topic
gelöst Chef will in E-Mails schauen - Wie sicher ich mich ab? (21)

Frage von Althalus zum Thema Off Topic ...

Verschlüsselung & Zertifikate
gelöst Bitlocker mit nur TPM sicher? (7)

Frage von Icybaby zum Thema Verschlüsselung & Zertifikate ...

Webbrowser
Verbindung zu Mozilla.org nicht mehr sicher?! (6)

Frage von D1Ck3n zum Thema Webbrowser ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...