Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf VNP Site to Site mit Zertifikaten regeln

Frage Microsoft Windows Server

Mitglied: mixdeby

mixdeby (Level 1) - Jetzt verbinden

29.09.2008, aktualisiert 02.10.2008, 3669 Aufrufe, 9 Kommentare

Hallo zusammen!

Ich habe 2 Standorte mittels einer VPN Site to Site Verbindung miteinander verbunden!

Die Kommunikation untereinader funktioniert nun komplett!

Nun möchte ich aber, dass es nicht allen Nutzern der internen LANs erlaubt sein darf auf den Tunnel zuzugreifen. Deshalb möchte ich gerne eine Zertifikatsbasierende Authentifizierung einführen, die regelt, ob ein Nutzer Zugriff auf den Tunnel hat oder nicht!

Leider fällt mir da keine Möglichkeit ein, wie das zu bewerkstelligen ist.

Vielleich könnte man ja mit einem DHCP Server Adressen aus verschiedenen Subnetzen verteilen und dann eben dem einen Subnetz den Zugriff gestatten und dem anderen nicht. Nur wie steure ich sowas mit Zertifikaten? Das ließe sich doch nur mit MAC Adressen realisieren, was mir aber zu unsicher wäre.

Habt ihr da vll. ne Idee?

Gruß und Danke schonmal im voraus,

Mixdeby!
Mitglied: aqui
30.09.2008 um 10:33 Uhr
Deine Frage ist sowas wie eine Schrotschussfrage ohne Details so das eine qualifizierte Antwort sehr schwer fällt.

Nicht das du es versäumst das VPN Protokoll zu nennen mit dem du diese Site to Site Verbindung realisierst, sondern zur Hardware steht da auch rein gar nichts. Letztlich bleibt dann nur raten...

Gute VPN Gateways und auch einige freie Lösungen wie z.B. das sehr bekannte OpenVPN haben eine Zertifikatsunterstützung oder wenigstens eine Radius Server Unterstützung mit der eine Zertifikatssteuerung problemlos zu realisieren ist.
Es kommt also auf deine Hardware an die diese Site to Site Kopplung macht !

Scheinbar gehst du auch weiterhin von einem Funktionsirrtum bei einem VPN aus bzw. weisst nicht wie so etwas realisiert ist.
Bei einer Site to Site VPN Kopplung ist der VPN Tunnel sowas wie ein weiteres Interface für den Router das erstmal alle Benutzer der Netzwerke auf beiden Seiten transparent den Zugriff erlaubt. Der Nutzer im netz muss sich ja nicht mehr authentifizieren, da der Router beide Netze transparent über den VPN Tunnel verbindet !! Der Router ist also für die Verschlüsselung und Authentifizierung zuständig nicht der einzelne Client im angeschlossenen Netz !!

Was du oben aber beschreibst ist ein sog. Roadwarrior Szenario also ein Remote Dialin Szenario mit dem sich mobile Mitarbeiter per VPN temporär einwählen.
Das hat aber mit einer Site zu Site Kopplung nichts zu tun außer das beide einen VPN Tunnel benutzen um die Datenverbindung herzustellen. Hier muss dann auch der Client authentifiziert werden, nicht aber bei einer Site to Site Kopplung per VPN !

Du beschreibst also 2 Dinge die du dann wild zusammenwürfelst und nach eine Lösung fragst. Auch das macht eine Antwort nicht eben leicht

Ist es denn bei dir wirklich eine Site Zu Site Kopplung, regelt man den Zugriff für gewisse Benutzer oder Teilnehmer in den angeschlossenen LAN Netzen problemlos mit einen Accesslitste die man auf dem VPN Router konfiguriert.
Dort kann man dann einfach und problemlos einstellen wer welche Applikation im Zugriff haben darf.

Mit der richtigen Hardware ist das ein Kinderspiel und sehr einfach zu lösen...
Man muss nur wissen was man hat und was man macht, was bei dir leider nicht ganz klar ist !
Bitte warten ..
Mitglied: mixdeby
30.09.2008 um 14:18 Uhr
Ok, sorry da habe ich wohl zu wenig Informationen fließen lassen!

Nun nochmal:

Ich habe die VPN Site to Site Verbindung mit ISA Server 2004 auf W2k3 realisiert!

Auf beiden Servern habe ich jeweils ein Remotestandortnetzwerk hinzugefügt!

Die Verbindung wird über L2TP aufgebaut und IPsec Zertifikate dienen zur Authentifizierung der beiden Server. Auf einem Server ist eine Zertifizierungsstelle eingerichtet, der beide Server vertrauen.

Nun möchte ich an Standort A den Zugriff auf den VPN-Tunnel insoweit beschränken, dass nur User, die sich mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben. Da wäre es doch sinnvoll einen Radius Server auf Server A zu installieren oder? Ist das möglich und wie?

Leider werde ich im Netz nicht fündig!

Danke schonmal und Gruß

Daniel
Bitte warten ..
Mitglied: aqui
01.10.2008 um 00:25 Uhr
Du mischt schon wieder alles konfus durcheinander und hast von dem oben geschrieben vermutlich nichts verstanden !!!

Nochmal ganz langsam damit du es jetzt verstehst !!
Deine ISA Server arbeiten als Router, wobei der VPN Tunnel eine direkte (virtuelle) IP Schnittstelle darstellt die beide Netze verbindet.
Der ISA ist also ein Router der erstmal 2 Netze transparent über IP verbindet und sonst nichts....
Die Authentifizierung der beiden Rechner bzw. Tunnelendpunkte macht ein Zertifikat, so das du ja schon eine Zertifikatsauthentisierung hast !! Das gilt nur für den Aufbau der VPN Verbindung über ein öffentliches Netz, damit nicht jeder Hans und Franz im Internet Tunnelendpunkt für dich spielen kann und deine Daten belauschen kann !!
Mit der eigentlichen Netzkopplung hat das aber rein gar nichts zu tun !

Generell ist der bestehende Tunnel dann transparent für alle Benutzer im LAN verfügbar.
Diese Benutzer müssen sich NICHT mehr separat authentifizieren, denn sie sehen ja nur einen Router der das für sie erledigt. Den VPN Tunnel als solchen sehen sie ja gar nicht....müssen sie ja auch nicht.

Es gibt also gar keine User die "...mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben.." denn sie müssen sich NICHT authentifizieren.
Genau DAS ist ja der Sinn einer LAN zu LAN VPN Verbindung.

Es ei denn du hast dich ungeschickt ausgedrückt und hast noch mobile Mitarbeiter die sich per VPN einwählen um so ebenfalls Zugriff aufs Netz zu bekommen ???!

Du kannst den Zugang dann nur über die Firewall Funktion des ISA Regeln indem zu bestimmte IPs und TCP Ports sperrst.
Anders ist das nicht möglich !
Bitte warten ..
Mitglied: mixdeby
01.10.2008 um 08:51 Uhr
Ich verstehe sehr wohl was du meinst!

Ich vermische hier auch nichts.

Nun mal gekürzt: Ich möchte am VPN Server (Router) mit Zertifikaten den Zugang auf die Route ins andere Netz regeln.

Deshalb die Frage: Kann man den Zugriff auf eine Route mit Zertifikaten steuern???

Ansonsten könnte man ja auch, wie du bereits erwähnt hast, das ganze mit Firewallregeln steuern. Dazu könnte man ja einen DHCP Server aufsetzen, der bekannten MAC Adressen dann eben IPs aus einem Pool zuweist, der in einer Firewallregel ist, die den Zugang auf die Route in den Tunnel zulässt und allen anderen IPs zuweist, die keinen Zugnag auf den Tunnel haben!

Diese Variante ist mir aber zu unsicher, da durch Abhören der Leitung MAC Adressen ausgelesen und emuliert werden können.

Deshalb würde ich das ganze mit Zertifikaten regeln wollen. Nur ich bezweifle, dass ich IP Adressvergabe zertifikatsbasiert machen kann, denn das Anfordern der IP Adresse passiert rein MAC basiert.

Oder man müsste eine Verschlüsselung schon für Layer 2 einsetzen damit ein Abhören der MAC unmöglich ist!

Nun der Grund warum der Zugang geregelt werden muss: An Standort A befinden sich sowohl Mitarbeiter als auch Freelancer, denen der Zugriff auf unsere Betriebsnetz B eben nicht ermöglicht werden darf!
Bitte warten ..
Mitglied: mixdeby
01.10.2008 um 15:18 Uhr
So!

Ich habe gerade mal einen DHCP Server aufgesetzt! Hiermit vergebe ich nun den Clients, die bekannt sind (Mitarbeiter) reservierte IP Adressen (Statisches DHCP). Alle anderen (Freelancer, Rechner mit unbekannten MACs) bekommen dynamisch aus einem Pool eine IP Adresse zugewiesen.

Anschließend habe ich die Firewallregeln im ISA Server 2004 für den Zugriff auf das entfernte VPN Netz so angepasst, dass nur die IP Adressen Zugriff haben, die ich vorher statisch einer MAC zugeordnet habe.

Der Zugriff ist somit geregelt. Aber wie sicher ist das Ganze? Wie ich oben erwähnt habe, wäre mir eine Zugriffsteuerung mit Zertifikaten lieber. Ist das nicht möglich?

Danke schonmal

Daniel
Bitte warten ..
Mitglied: aqui
02.10.2008 um 10:06 Uhr
Eine Routen Steuerung mit Zertifikaten ist generell technisch NICHT möglich !!!

Zertifikate können lediglich den Zugang von Clients regeln sonst nichts. Niemals eine Wegefindung im IP Netzwerk !!
Das schonmal als Fakt vorweg !!!

Mit deinem Workaround hast du eine Quick and Dirty Lösung implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.

MAC Adressen sind problemlos konfigurierbar und damit kann man dein System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst natürlich niemals !!
Bitte warten ..
Mitglied: mixdeby
02.10.2008 um 10:32 Uhr
Zitat von aqui:
Eine Routen Steuerung mit Zertifikaten ist generell technisch NICHT
möglich !!!

Genau das leuchtet mir langsam auch ein. Denn wenn man das mal ganz nüchtern betrachtet, passiert Routing auf Layer 3. Und hier sind Zertifikate absolut noch kein Thema.


Mit deinem Workaround hast du eine Quick and Dirty Lösung
implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.

MAC Adressen sind problemlos konfigurierbar und damit kann man dein
System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen
Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst
natürlich niemals !!
Genau deshalb schau ich mir jetzt mal an, was mit dem ISA Firewallclient so möglich ist!

Aber Danke für Dein Bemühen
Bitte warten ..
Mitglied: aqui
02.10.2008 um 10:47 Uhr
Es gibt dynamische Routing Protokolle die eine Verschlüsselung haben und Authentisierung ihrer Neighbors durchführen wie z.B. OSPF mit MD-5 Passwörtern aber auch damit ist eine Routensteuerung niemals möglich da eben nur Layer 3.

Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: mixdeby
02.10.2008 um 13:33 Uhr
Ich schaue mir das am Montag nochmal an. Und werde dann wohl eine "Lösung" auswählen.

Hier ist denke ich alles gesagt.

Falls jemand noch eine findige Idee hat, bitte posten. Bin für jede Hilfe dankbar.

Deshalb setze ich den Thread erst auf gelöst, wenn ich mir meiner Lösung sicher bin!

Aber DANKE!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...