OpenVPN Zertifikat pro User oder Allgemein
Hallo zusammen
Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen OpenVPN auf unserer PFSense ein. Authentifiziert wird über Radius am AD. Funktioniert auch alles soweit so gut.
Jetzt eine Grundsatzfrage bei OpenVPN.
Das Clientseitige Zertifikat. Erstellt ihr für jeden User ein eigenes, oder erstellt ihr ein Allgemeines und regelt die Zugriffe über die Benutzerdaten?
Sicherheitstechnisch wäre es klar besser pro User, aber ich frage mich ob sich der Aufwand lohnt?
Vielen Dank für euer Input!
Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen OpenVPN auf unserer PFSense ein. Authentifiziert wird über Radius am AD. Funktioniert auch alles soweit so gut.
Jetzt eine Grundsatzfrage bei OpenVPN.
Das Clientseitige Zertifikat. Erstellt ihr für jeden User ein eigenes, oder erstellt ihr ein Allgemeines und regelt die Zugriffe über die Benutzerdaten?
Sicherheitstechnisch wäre es klar besser pro User, aber ich frage mich ob sich der Aufwand lohnt?
Vielen Dank für euer Input!
Please also mark the comments that contributed to the solution of the article
Content-Key: 297367
Url: https://administrator.de/contentid/297367
Printed on: April 19, 2024 at 21:04 o'clock
10 Comments
Latest comment
Hi,
ganz klar für jeden Benutzer ein eigenes Zertifikat.
Die AD-Benutzer haben doch meist ein Passwort aller TestTest, qwertz o.ä.
Z.B. ausgeschiedene MA kennen häufig den Benutzernamen und auch das Passwort ihrer direkten Kollegen.
(Bin im Urlaub, aber kannst mal gucken, ob was kam - Passwort ist ...)
greetz
Ravers
ganz klar für jeden Benutzer ein eigenes Zertifikat.
Die AD-Benutzer haben doch meist ein Passwort aller TestTest, qwertz o.ä.
Z.B. ausgeschiedene MA kennen häufig den Benutzernamen und auch das Passwort ihrer direkten Kollegen.
(Bin im Urlaub, aber kannst mal gucken, ob was kam - Passwort ist ...)
greetz
Ravers
Das hängt ja auch von deinen Leuten ab. Persönliche Zertifikate lohnen natürlich nur dann wenn die Leute die auch persönlich halten. Wenn die den Rechner eh direkt an die Kollegen geben oder ggf. die Mail mit dem zertifikat einfach weiterleiten um dafür zu sorgen das Kollege X im Urlaub auch mal eben Zugriff haben kann bringt das an der Stelle wenig. Einen großen Vorteil hast du dennoch wenn Kollege X mal wieder kleinlaut am Schreibtisch steht und beichtet das er das Laptop/das Telefon/den USB-Stick mit den Daten verloren hat. Dann brauchst du nicht _allen_ Kollegen ein neues Zertifikat geben. Grade die Kollegen die in dem Moment unterwegs sind werden sich freuen weil hier das Henne-Ei-Problem entsteht (ich brauche das neue Zertifikat um an das VPN zu kommen. Das Zertifikat liegt aber auf einem Server für den ich VPN benötige...)
Ist halt immer die Frage wie weit du gehen willst und was deine Leute mitmachen...
Ist halt immer die Frage wie weit du gehen willst und was deine Leute mitmachen...
Pro User eins... Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router