Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Rechner vom restlichen Netzwerk trennen/Konfigurationsvorschlag

Frage Netzwerke

Mitglied: nitrous

nitrous (Level 1) - Jetzt verbinden

21.07.2006, aktualisiert 23.07.2006, 5950 Aufrufe, 10 Kommentare

Hallo,

ich habe derzeit ein Netz mit einem Win2000 Server und 15 Rechnern. Eine Internetanbindung ist über eine Checkpoint Safe@Office Box realisiert welche als Hardwarefirewall und VPN-Server fungiert. Der Virenschutz ist über eine Server-/Client-lösung von Trendmicro realisiert.

Nun soll für eine weitere Anwendung ein zweiter Server installiert werden. Lokal wird nur ein Mitarbeiter auf diesem Server ca. 2-3mal monatlich auf diesem Server arbeiten. Hinzu kommen jedoch 3 externe Arbeitsplätze die nicht in meinem Verfügungsbereich (z. B. Virenschutz, Windowsupdates stehen). Ich suche nun eine kostengünstige Lösung den externen Rechnern VPN-Zugriff auf den neuen Server zu gewähren ohne das diese ein Gefahrenpotential (Würmer, unauthorisierter Zugriff etc.) für das vorhandene Netz + Server darstellen.

Da die geplante Anwendung für den neuen Server keine hohen Hardwareanforderungen hat (PIII, 300MHZ), hatte ich gedacht einen Standard-Desktop Rechner mit Bandsicherung dafür zu betreiben. Probleme macht mir derzeit noch die Einbindung der externen Rechner.

1. Wenn sich diese per VPN über den vorhandenen Router einwählen werden Sie ja ein Teil unseres Netzes und würden damit die Hardwarefirewall umgehen, sehe ich das richtig? Die User könnten Zugriff auf die vorhandenen Rechner bekommen, Netzwerkverkehr mitschneiden, Würmer sich ungehindert verbreiten wenn es entsprechende offene Ports an den Desktops gibt?

2. Bleibt mir als einzige Lösung eine 2tes Netz aufzubauen inkl. 2ter Internet-Leitung und Router, oder bekomme ich auch in anderer Form eine saubere Trennung hin?

3. Wäre es schön den Server auch für weitere Anwendungen im internen Netz nutzen zu können.

Ich bitte mal um Konfigurationsvorschläge.
Mitglied: 27119
21.07.2006 um 10:02 Uhr
Prinzipiell hast du recht. Genau das ist ein grundsätzliches Problem von VPN Verbindungen mit Mitarbeiterrechnern -das LAN ist durch "unsichere" Remote Endgeräte gefährdet.

Die zweite Leitung wäre natürlich die sauberste Lösung.
Doch man muss es auch nicht übertreiben - es gibt genug Möglichkeiten, die man auch als sicher einstufen kann.

Denkbare Alternativen:

  • Auf dem neuen Server läuft auch VPN. Die "unsicheren" Clients können VPN Verbindungen (unabhängig vom bereits vorhandenen VPN) explizit nur auf diesen Server machen (entspechendes VPN Ports Forwarding u. Firewall Freischaltung für den neuen Server vorrausgesetzt). Dann hätten die User sicheren Zugriff NUR auf diesen einen Server.

  • Wenns billig sein soll, und zum Arbeiten ausreicht könnte man auch über Remote Desktop oder VNC Verbindungen nachdenken, so dass der Zustand der entfernten Rechner egal ist, und sie über Terminaldienste auf dem Firmenserver arbeiten, ohne ihn oder das LAN schädigen zu können.

  • Wenns teurer sein soll/darf/muss: Citrix Terminaldienste (Presentationserver) oder auch Juniper Secure Access sind hier sehr schöne Lösungen - das nötige Kleingeld vorausgesetzt.

  • Denkbar wäre auch eine Client-spezifische VLAN Configuration. Je nach angemeldetem Benutzer oder MAC Adresse oder Zertifikat auf dem Client (?) ) kommt der zugreifende Remote PC in ein spezielles VLAN, das nur Zugriff auf den neuen Server hat. Auch ne schöne Lösung, doch vielleicht bissi aufwendig. Weiss auch nicht ob dein Netz VLANs unterstützt.
Bitte warten ..
Mitglied: nitrous
21.07.2006 um 11:45 Uhr
Also die VPN-Lösung finde ich interessant. Den VPN-Port forwarden und den Server als VPN-Server nutzen inkl. einem eigenen Subnetz. Damit dürfte ein Übergriff auf die vorhandenen Rechner schwer möglich sein und wir brauchen keine Kabel verlegen, keine 2te Inet-Anbindung sowie keine zusätzliche HW-Firewall.


Gibts es eine "sichere" Software-VPN-Lösung für Windows? Die eingebaute funktioniert zwar aber soll nicht das sicherste sein.

Gibt es eigentlich reine VPN-Boxen, ähnlich einem Router aber nur zu VPN-Zwecken, die man davor setzen könnte?
Bitte warten ..
Mitglied: aqui
21.07.2006 um 12:18 Uhr
Ja, die gibt es, das sind sog. VPN Gateways. Da gibt es zig Anbieter..Checkpoint ist selber einer, Watchguard, Pyramid, und und.....
Das wäre eigentlich die sauberste Lösung. Die Problematik ist aber das deine Checkpoint Box nicht erweiterbar ist. Sonst würde man dort einfach ein weiteres IP Ethernetsegment eröffnen und den Server dort plazieren. Damit hättest du eine saubere Trennung zum bestehenden Netzwerk und könntest über die Firewall noch entsprechende Zugangsfilter in dies Segment definieren und damit natürlich auch den neuen Server aus dem bestehenden Segment nutzen.
Das Szenario sähe dann so aus:

(Internet)---Router---(Firewall)===2 Ethernet Interfaces

Nachteil für dich ist das du dafür Geld in die Hand nehmen musst für eine neue externe Firewall mit VPN Funktion, die du eigentlich ja schon hast....

Es gäbe aber auch noch eine andere Möglichkeit:
Du nimmst einen Layer 3 LAN Switch und definierst dort 3 VLANs drauf. Eins ist dein bestehendes Netz, eins ist für dein neues VPN Segment und eins für den Zugang zum VPN/Router ins Internet:

(Internet)---Router---(Layer 3 Switch mit 3 VLANs

Auf dem Switch hast du nun 3 vollständig getrennte IP Segmente die du untereinander im Switch dann routen kannst. Über Access Listen kannst du sehr granular den Zugang zu den einzelnen Segmenten steuern. Z.B. das ein Zugang aus deinem neuen VPN Segment ins bestehende LAN geblockt ist oder nur für bestimmte Dienste (Zugriff auf den neuen Server).
Dies erfordert zwar auch eine finanzielle Investition ist aber erheblich weniger als z.B. eine neue FW oder VPN Gateway, da L3 fähige Switches derzeit recht preiswert zu haben sind. Weiterer Vorteil: Du kannst deine bestehende Checkpoint weiterbenutzen musst dort nur lediglich 2 Netze im Routing eintragen. Layer 3 Switches gibt es einigermaßen preiswert von einschlägigen Anbietern. Achte aber darauf das du bei dem Switch die Möglichkeit hast Layer 3 ACLs zu definieren. Eigentlich ein Standardfeature aber es gibt taiwanesische Billigsysteme die auf sowas verzichten aus Preisgründen. M.E. die am wenigsten aufwendigste Lösung.
Bitte warten ..
Mitglied: 27119
21.07.2006 um 12:33 Uhr
Gibts es eine "sichere"
Software-VPN-Lösung für Windows?
Die eingebaute funktioniert zwar aber soll
nicht das sicherste sein.

Gibt es eigentlich reine VPN-Boxen,
ähnlich einem Router aber nur zu
VPN-Zwecken, die man davor setzen
könnte?

Es gibt bestimmt einige günstige VPN Boxen auf dem Markt.

Nunja, Windows und die Sicherheit... Ich finde, Microsofts Ruf ist (aufgrund massiver Probleme in der Vergangenheit) schlechter als die momentane Wirklichkeit.

Es stimmt, dass vor einiger Zeit ein paar findige Studenten nachgewiesen haben, dass PPTP knackbar ist. Gut.
Gratuliere den Jungs für diese Meisterleistung!
Wir sollten jedoch die Kirche im Dorf lassen.
Nur weil ein paar gelangweilte Studenten mit IQ 215 dies unter Testlabor-Bedingungen geschafft haben, würde ich nicht übergehen zu sagen, dass PPTP gänzlich unsicher ist!
Es ist immer ein Abwägen zw. Aufwand und Sicherheitsgewinn.
de.wikipedia.org/wiki/PPTP

Für eine Bank oder den CIA würde ich PPTP wohl nicht einsetzen, für den Zugriff auf deinen 2ten Server, den relativ wenige Leute gelegentlich nutzen werden, hätte ich keine Skrupel es einzusetzen. Es ist einfach zu konfigurieren, und läuft stabil.

Es ist einfach die Frage, wieviel mehr an Geld und Aufwand ich bereit bin, in eine gefühlte Steigerung der Sicherheit zu investieren, die vielleicht die Wahrscheinlichkeit einer feindlichen Übernahme tatsächlich um gerade mal 2% verringert.
Bitte warten ..
Mitglied: nitrous
21.07.2006 um 12:39 Uhr
Also müsste der vorhandene Switch gegen einen Layer-3 fähigen ausgetauscht werden.

Ich kenne mit erweiterten Netzkonfiguration sprich Layer-3 nicht aus. Wie realisiert der Switch die Trennung der beiden Netze? Sind die Rechner dann alle im gleich IP-Netz und der Switch regelt den Datenverkehr nach vorgegeben Regeln, sprich auf Port XY darf zwischen beiden Netzen kommuniziert werden auf anderen Ports wiederum nicht?

Muss mich da glaub ich noch was einlesen. Aber vielleicht kannst du das schon mal im Groben umreissen wie das dann funktioniert.
Bitte warten ..
Mitglied: nitrous
21.07.2006 um 12:50 Uhr
Also kann ich das eingebaute VPN von Windows als sicher einstufen. Sicher heißt für mich, das es nicht von jedem Script-Kiddy innerhalb von Sekunden ausgehebelt wird. Habe das "sicher" ja nicht umsonst in Anführungszeichen gesetzt.


Um auch nochmal nen Spruch loszuwerden :D :
Mit der IT-Sicherheit ist das wie mit Fahrradschlössern, wenn man nur genug Zeit und die richtige Ausrüstung hat.......
Bitte warten ..
Mitglied: 27119
21.07.2006 um 13:01 Uhr
Also kann ich das eingebaute VPN von Windows
als sicher einstufen. Sicher heißt
für mich, das es nicht von jedem
Script-Kiddy innerhalb von Sekunden
ausgehebelt wird. Habe das
"sicher" ja nicht umsonst in
Anführungszeichen gesetzt.


Ich würde sagen - es ist in Verbindung mit starken Passwörtern durchaus einsetzbar.
Da helfen Passwortrichtlinien (Gruppenrichtlinien) , um den Usern auf die sicherheitstechnischen Sprünge zu helfen...
Wenn auf den Benutzer-Rechnern zufällig Keylogger / Trojaner vor sich hinbrüten, ist jedoch KEIN Zugriffsverfahren oder Protokoll sicher. Da würde nur noch RSA SecureID helfen (Einmal-Passwörter).
Bitte warten ..
Mitglied: aqui
21.07.2006 um 13:23 Uhr
Ja, das ist recht einfach. Du definierst die Portzugehörigkeit auf dem Switch zu den VLANs und hängst dort dann per Konfig ein IP Interface rein. Das sieht dann ungefähr so aus (..ist aber bei unterschiedlichen Switch Herstellern ggf. etwas anders). Hier mit Filterliste vom VPN Segment ins Büronetz:

vlan 1 name Büronetz by port
untagged ethe 1 to ethe 10
router-interface vlan 1

vlan 2 name VPN by port
untagged ethe 11 to ethe 20
router-interface vlan 2

vlan 3 name Internet by port
untagged ethe 22
router-interface vlan 3

interface vlan 1
ip address 192.168.1.254 255.255.255.0
access-group 100 in

interface vlan 2
ip address 192.168.2.254 255.255.255.0

interface vlan 3
ip address 192.168.3.254 255.255.255.0

access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Die Vlan Interfaces auf dem Switch sind dann die default Gateways für die Endgeräte in diesen Segmenten.
Bitte warten ..
Mitglied: 27119
21.07.2006 um 13:28 Uhr
http://www.administrator.de/VLANs_-_Schnell%FCberblick_und_Konfiguratio ...

Da ist auch ne kl. Erklärung zu VLANs u. dem Themenkomplex.

Um den VLANs direkt IP-Adressen geben zu können braucht man SVIs (Switch Virtual Interfaces) oder BVIs (Bridge Virtual Interface) meines Wissens. Kann auch nicht jeder.
Bitte warten ..
Mitglied: nitrous
23.07.2006 um 11:29 Uhr
Vielen Dank für alle Antworten. Ich werde mich mal in die Vlan´s einlesen.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Welche Freigaben haben welche Rechner im Netzwerk und welche User ist angemeldet? (5)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Netzwerke
gelöst VPN Sichtbarkeit im Netzwerk nicht möglich (6)

Frage von serguni zum Thema Netzwerke ...

Windows Userverwaltung
gelöst Domain - Zugriff auf Rechner in Netzwerk ohne Administrator Passwort (14)

Frage von Aviator zum Thema Windows Userverwaltung ...

Netzwerke
gelöst VPN Verbindung WIndows Rechner via FritzBox Fernzugang - Kein Internet

Frage von garack zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...