9
Zugriff auf VNP Site to Site mit Zertifikaten regeln
Hallo zusammen!
Ich habe 2 Standorte mittels einer VPN Site to Site Verbindung miteinander verbunden!
Die Kommunikation untereinader funktioniert nun komplett!
Nun möchte ich aber, dass es nicht allen Nutzern der internen LANs erlaubt sein darf auf den Tunnel zuzugreifen. Deshalb möchte ich gerne eine Zertifikatsbasierende Authentifizierung einführen, die regelt, ob ein Nutzer Zugriff auf den Tunnel hat oder nicht!
Leider fällt mir da keine Möglichkeit ein, wie das zu bewerkstelligen ist.
Vielleich könnte man ja mit einem DHCP Server Adressen aus verschiedenen Subnetzen verteilen und dann eben dem einen Subnetz den Zugriff gestatten und dem anderen nicht. Nur wie steure ich sowas mit Zertifikaten? Das ließe sich doch nur mit MAC Adressen realisieren, was mir aber zu unsicher wäre.
Habt ihr da vll. ne Idee?
Gruß und Danke schonmal im voraus,
Mixdeby!
Ich habe 2 Standorte mittels einer VPN Site to Site Verbindung miteinander verbunden!
Die Kommunikation untereinader funktioniert nun komplett!
Nun möchte ich aber, dass es nicht allen Nutzern der internen LANs erlaubt sein darf auf den Tunnel zuzugreifen. Deshalb möchte ich gerne eine Zertifikatsbasierende Authentifizierung einführen, die regelt, ob ein Nutzer Zugriff auf den Tunnel hat oder nicht!
Leider fällt mir da keine Möglichkeit ein, wie das zu bewerkstelligen ist.
Vielleich könnte man ja mit einem DHCP Server Adressen aus verschiedenen Subnetzen verteilen und dann eben dem einen Subnetz den Zugriff gestatten und dem anderen nicht. Nur wie steure ich sowas mit Zertifikaten? Das ließe sich doch nur mit MAC Adressen realisieren, was mir aber zu unsicher wäre.
Habt ihr da vll. ne Idee?
Gruß und Danke schonmal im voraus,
Mixdeby!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98088
Url: https://administrator.de/contentid/98088
Printed on: April 19, 2024 at 23:04 o'clock
9 Comments
Latest comment
Deine Frage ist sowas wie eine Schrotschussfrage ohne Details so das eine qualifizierte Antwort sehr schwer fällt.
Nicht das du es versäumst das VPN Protokoll zu nennen mit dem du diese Site to Site Verbindung realisierst, sondern zur Hardware steht da auch rein gar nichts. Letztlich bleibt dann nur raten...
Gute VPN Gateways und auch einige freie Lösungen wie z.B. das sehr bekannte OpenVPN haben eine Zertifikatsunterstützung oder wenigstens eine Radius Server Unterstützung mit der eine Zertifikatssteuerung problemlos zu realisieren ist.
Es kommt also auf deine Hardware an die diese Site to Site Kopplung macht !
Scheinbar gehst du auch weiterhin von einem Funktionsirrtum bei einem VPN aus bzw. weisst nicht wie so etwas realisiert ist.
Bei einer Site to Site VPN Kopplung ist der VPN Tunnel sowas wie ein weiteres Interface für den Router das erstmal alle Benutzer der Netzwerke auf beiden Seiten transparent den Zugriff erlaubt. Der Nutzer im netz muss sich ja nicht mehr authentifizieren, da der Router beide Netze transparent über den VPN Tunnel verbindet !! Der Router ist also für die Verschlüsselung und Authentifizierung zuständig nicht der einzelne Client im angeschlossenen Netz !!
Was du oben aber beschreibst ist ein sog. Roadwarrior Szenario also ein Remote Dialin Szenario mit dem sich mobile Mitarbeiter per VPN temporär einwählen.
Das hat aber mit einer Site zu Site Kopplung nichts zu tun außer das beide einen VPN Tunnel benutzen um die Datenverbindung herzustellen. Hier muss dann auch der Client authentifiziert werden, nicht aber bei einer Site to Site Kopplung per VPN !
Du beschreibst also 2 Dinge die du dann wild zusammenwürfelst und nach eine Lösung fragst. Auch das macht eine Antwort nicht eben leicht
Ist es denn bei dir wirklich eine Site Zu Site Kopplung, regelt man den Zugriff für gewisse Benutzer oder Teilnehmer in den angeschlossenen LAN Netzen problemlos mit einen Accesslitste die man auf dem VPN Router konfiguriert.
Dort kann man dann einfach und problemlos einstellen wer welche Applikation im Zugriff haben darf.
Mit der richtigen Hardware ist das ein Kinderspiel und sehr einfach zu lösen...
Man muss nur wissen was man hat und was man macht, was bei dir leider nicht ganz klar ist !
Nicht das du es versäumst das VPN Protokoll zu nennen mit dem du diese Site to Site Verbindung realisierst, sondern zur Hardware steht da auch rein gar nichts. Letztlich bleibt dann nur raten...
Gute VPN Gateways und auch einige freie Lösungen wie z.B. das sehr bekannte OpenVPN haben eine Zertifikatsunterstützung oder wenigstens eine Radius Server Unterstützung mit der eine Zertifikatssteuerung problemlos zu realisieren ist.
Es kommt also auf deine Hardware an die diese Site to Site Kopplung macht !
Scheinbar gehst du auch weiterhin von einem Funktionsirrtum bei einem VPN aus bzw. weisst nicht wie so etwas realisiert ist.
Bei einer Site to Site VPN Kopplung ist der VPN Tunnel sowas wie ein weiteres Interface für den Router das erstmal alle Benutzer der Netzwerke auf beiden Seiten transparent den Zugriff erlaubt. Der Nutzer im netz muss sich ja nicht mehr authentifizieren, da der Router beide Netze transparent über den VPN Tunnel verbindet !! Der Router ist also für die Verschlüsselung und Authentifizierung zuständig nicht der einzelne Client im angeschlossenen Netz !!
Was du oben aber beschreibst ist ein sog. Roadwarrior Szenario also ein Remote Dialin Szenario mit dem sich mobile Mitarbeiter per VPN temporär einwählen.
Das hat aber mit einer Site zu Site Kopplung nichts zu tun außer das beide einen VPN Tunnel benutzen um die Datenverbindung herzustellen. Hier muss dann auch der Client authentifiziert werden, nicht aber bei einer Site to Site Kopplung per VPN !
Du beschreibst also 2 Dinge die du dann wild zusammenwürfelst und nach eine Lösung fragst. Auch das macht eine Antwort nicht eben leicht
Ist es denn bei dir wirklich eine Site Zu Site Kopplung, regelt man den Zugriff für gewisse Benutzer oder Teilnehmer in den angeschlossenen LAN Netzen problemlos mit einen Accesslitste die man auf dem VPN Router konfiguriert.
Dort kann man dann einfach und problemlos einstellen wer welche Applikation im Zugriff haben darf.
Mit der richtigen Hardware ist das ein Kinderspiel und sehr einfach zu lösen...
Man muss nur wissen was man hat und was man macht, was bei dir leider nicht ganz klar ist !
Ok, sorry da habe ich wohl zu wenig Informationen fließen lassen!
Nun nochmal:
Ich habe die VPN Site to Site Verbindung mit ISA Server 2004 auf W2k3 realisiert!
Auf beiden Servern habe ich jeweils ein Remotestandortnetzwerk hinzugefügt!
Die Verbindung wird über L2TP aufgebaut und IPsec Zertifikate dienen zur Authentifizierung der beiden Server. Auf einem Server ist eine Zertifizierungsstelle eingerichtet, der beide Server vertrauen.
Nun möchte ich an Standort A den Zugriff auf den VPN-Tunnel insoweit beschränken, dass nur User, die sich mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben. Da wäre es doch sinnvoll einen Radius Server auf Server A zu installieren oder? Ist das möglich und wie?
Leider werde ich im Netz nicht fündig!
Danke schonmal und Gruß
Daniel
Nun nochmal:
Ich habe die VPN Site to Site Verbindung mit ISA Server 2004 auf W2k3 realisiert!
Auf beiden Servern habe ich jeweils ein Remotestandortnetzwerk hinzugefügt!
Die Verbindung wird über L2TP aufgebaut und IPsec Zertifikate dienen zur Authentifizierung der beiden Server. Auf einem Server ist eine Zertifizierungsstelle eingerichtet, der beide Server vertrauen.
Nun möchte ich an Standort A den Zugriff auf den VPN-Tunnel insoweit beschränken, dass nur User, die sich mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben. Da wäre es doch sinnvoll einen Radius Server auf Server A zu installieren oder? Ist das möglich und wie?
Leider werde ich im Netz nicht fündig!
Danke schonmal und Gruß
Daniel
Du mischt schon wieder alles konfus durcheinander und hast von dem oben geschrieben vermutlich nichts verstanden !!!
Nochmal ganz langsam damit du es jetzt verstehst !!
Deine ISA Server arbeiten als Router, wobei der VPN Tunnel eine direkte (virtuelle) IP Schnittstelle darstellt die beide Netze verbindet.
Der ISA ist also ein Router der erstmal 2 Netze transparent über IP verbindet und sonst nichts....
Die Authentifizierung der beiden Rechner bzw. Tunnelendpunkte macht ein Zertifikat, so das du ja schon eine Zertifikatsauthentisierung hast !! Das gilt nur für den Aufbau der VPN Verbindung über ein öffentliches Netz, damit nicht jeder Hans und Franz im Internet Tunnelendpunkt für dich spielen kann und deine Daten belauschen kann !!
Mit der eigentlichen Netzkopplung hat das aber rein gar nichts zu tun !
Generell ist der bestehende Tunnel dann transparent für alle Benutzer im LAN verfügbar.
Diese Benutzer müssen sich NICHT mehr separat authentifizieren, denn sie sehen ja nur einen Router der das für sie erledigt. Den VPN Tunnel als solchen sehen sie ja gar nicht....müssen sie ja auch nicht.
Es gibt also gar keine User die "...mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben.." denn sie müssen sich NICHT authentifizieren.
Genau DAS ist ja der Sinn einer LAN zu LAN VPN Verbindung.
Es ei denn du hast dich ungeschickt ausgedrückt und hast noch mobile Mitarbeiter die sich per VPN einwählen um so ebenfalls Zugriff aufs Netz zu bekommen ???!
Du kannst den Zugang dann nur über die Firewall Funktion des ISA Regeln indem zu bestimmte IPs und TCP Ports sperrst.
Anders ist das nicht möglich !
!!!Nochmal ganz langsam damit du es jetzt verstehst !!
Deine ISA Server arbeiten als Router, wobei der VPN Tunnel eine direkte (virtuelle) IP Schnittstelle darstellt die beide Netze verbindet.
Der ISA ist also ein Router der erstmal 2 Netze transparent über IP verbindet und sonst nichts....
Die Authentifizierung der beiden Rechner bzw. Tunnelendpunkte macht ein Zertifikat, so das du ja schon eine Zertifikatsauthentisierung hast !! Das gilt nur für den Aufbau der VPN Verbindung über ein öffentliches Netz, damit nicht jeder Hans und Franz im Internet Tunnelendpunkt für dich spielen kann und deine Daten belauschen kann !!
Mit der eigentlichen Netzkopplung hat das aber rein gar nichts zu tun !
Generell ist der bestehende Tunnel dann transparent für alle Benutzer im LAN verfügbar.
Diese Benutzer müssen sich NICHT mehr separat authentifizieren, denn sie sehen ja nur einen Router der das für sie erledigt. Den VPN Tunnel als solchen sehen sie ja gar nicht....müssen sie ja auch nicht.
Es gibt also gar keine User die "...mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben.." denn sie müssen sich NICHT authentifizieren.
Genau DAS ist ja der Sinn einer LAN zu LAN VPN Verbindung.
Es ei denn du hast dich ungeschickt ausgedrückt und hast noch mobile Mitarbeiter die sich per VPN einwählen um so ebenfalls Zugriff aufs Netz zu bekommen ???!
Du kannst den Zugang dann nur über die Firewall Funktion des ISA Regeln indem zu bestimmte IPs und TCP Ports sperrst.
Anders ist das nicht möglich !
Ich verstehe sehr wohl was du meinst!
Ich vermische hier auch nichts.
Nun mal gekürzt: Ich möchte am VPN Server (Router) mit Zertifikaten den Zugang auf die Route ins andere Netz regeln.
Deshalb die Frage: Kann man den Zugriff auf eine Route mit Zertifikaten steuern???
Ansonsten könnte man ja auch, wie du bereits erwähnt hast, das ganze mit Firewallregeln steuern. Dazu könnte man ja einen DHCP Server aufsetzen, der bekannten MAC Adressen dann eben IPs aus einem Pool zuweist, der in einer Firewallregel ist, die den Zugang auf die Route in den Tunnel zulässt und allen anderen IPs zuweist, die keinen Zugnag auf den Tunnel haben!
Diese Variante ist mir aber zu unsicher, da durch Abhören der Leitung MAC Adressen ausgelesen und emuliert werden können.
Deshalb würde ich das ganze mit Zertifikaten regeln wollen. Nur ich bezweifle, dass ich IP Adressvergabe zertifikatsbasiert machen kann, denn das Anfordern der IP Adresse passiert rein MAC basiert.
Oder man müsste eine Verschlüsselung schon für Layer 2 einsetzen damit ein Abhören der MAC unmöglich ist!
Nun der Grund warum der Zugang geregelt werden muss: An Standort A befinden sich sowohl Mitarbeiter als auch Freelancer, denen der Zugriff auf unsere Betriebsnetz B eben nicht ermöglicht werden darf!
Ich vermische hier auch nichts.
Nun mal gekürzt: Ich möchte am VPN Server (Router) mit Zertifikaten den Zugang auf die Route ins andere Netz regeln.
Deshalb die Frage: Kann man den Zugriff auf eine Route mit Zertifikaten steuern???
Ansonsten könnte man ja auch, wie du bereits erwähnt hast, das ganze mit Firewallregeln steuern. Dazu könnte man ja einen DHCP Server aufsetzen, der bekannten MAC Adressen dann eben IPs aus einem Pool zuweist, der in einer Firewallregel ist, die den Zugang auf die Route in den Tunnel zulässt und allen anderen IPs zuweist, die keinen Zugnag auf den Tunnel haben!
Diese Variante ist mir aber zu unsicher, da durch Abhören der Leitung MAC Adressen ausgelesen und emuliert werden können.
Deshalb würde ich das ganze mit Zertifikaten regeln wollen. Nur ich bezweifle, dass ich IP Adressvergabe zertifikatsbasiert machen kann, denn das Anfordern der IP Adresse passiert rein MAC basiert.
Oder man müsste eine Verschlüsselung schon für Layer 2 einsetzen damit ein Abhören der MAC unmöglich ist!
Nun der Grund warum der Zugang geregelt werden muss: An Standort A befinden sich sowohl Mitarbeiter als auch Freelancer, denen der Zugriff auf unsere Betriebsnetz B eben nicht ermöglicht werden darf!
So!
Ich habe gerade mal einen DHCP Server aufgesetzt! Hiermit vergebe ich nun den Clients, die bekannt sind (Mitarbeiter) reservierte IP Adressen (Statisches DHCP). Alle anderen (Freelancer, Rechner mit unbekannten MACs) bekommen dynamisch aus einem Pool eine IP Adresse zugewiesen.
Anschließend habe ich die Firewallregeln im ISA Server 2004 für den Zugriff auf das entfernte VPN Netz so angepasst, dass nur die IP Adressen Zugriff haben, die ich vorher statisch einer MAC zugeordnet habe.
Der Zugriff ist somit geregelt. Aber wie sicher ist das Ganze? Wie ich oben erwähnt habe, wäre mir eine Zugriffsteuerung mit Zertifikaten lieber. Ist das nicht möglich?
Danke schonmal
Daniel
Ich habe gerade mal einen DHCP Server aufgesetzt! Hiermit vergebe ich nun den Clients, die bekannt sind (Mitarbeiter) reservierte IP Adressen (Statisches DHCP). Alle anderen (Freelancer, Rechner mit unbekannten MACs) bekommen dynamisch aus einem Pool eine IP Adresse zugewiesen.
Anschließend habe ich die Firewallregeln im ISA Server 2004 für den Zugriff auf das entfernte VPN Netz so angepasst, dass nur die IP Adressen Zugriff haben, die ich vorher statisch einer MAC zugeordnet habe.
Der Zugriff ist somit geregelt. Aber wie sicher ist das Ganze? Wie ich oben erwähnt habe, wäre mir eine Zugriffsteuerung mit Zertifikaten lieber. Ist das nicht möglich?
Danke schonmal
Daniel
Eine Routen Steuerung mit Zertifikaten ist generell technisch NICHT möglich !!!
Zertifikate können lediglich den Zugang von Clients regeln sonst nichts. Niemals eine Wegefindung im IP Netzwerk !!
Das schonmal als Fakt vorweg !!!
Mit deinem Workaround hast du eine Quick and Dirty Lösung implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.
MAC Adressen sind problemlos konfigurierbar und damit kann man dein System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst natürlich niemals !!
Zertifikate können lediglich den Zugang von Clients regeln sonst nichts. Niemals eine Wegefindung im IP Netzwerk !!
Das schonmal als Fakt vorweg !!!
Mit deinem Workaround hast du eine Quick and Dirty Lösung implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.
MAC Adressen sind problemlos konfigurierbar und damit kann man dein System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst natürlich niemals !!
Genau das leuchtet mir langsam auch ein. Denn wenn man das mal ganz nüchtern betrachtet, passiert Routing auf Layer 3. Und hier sind Zertifikate absolut noch kein Thema.
Aber Danke für Dein Bemühen
Mit deinem Workaround hast du eine Quick and Dirty Lösung
implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.
MAC Adressen sind problemlos konfigurierbar und damit kann man dein
System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen
Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst
natürlich niemals !!
Genau deshalb schau ich mir jetzt mal an, was mit dem ISA Firewallclient so möglich ist!implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.
MAC Adressen sind problemlos konfigurierbar und damit kann man dein
System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen
Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst
natürlich niemals !!
Aber Danke für Dein Bemühen
Es gibt dynamische Routing Protokolle die eine Verschlüsselung haben und Authentisierung ihrer Neighbors durchführen wie z.B. OSPF mit MD-5 Passwörtern aber auch damit ist eine Routensteuerung niemals möglich da eben nur Layer 3.
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Ich schaue mir das am Montag nochmal an. Und werde dann wohl eine "Lösung" auswählen.
Hier ist denke ich alles gesagt.
Falls jemand noch eine findige Idee hat, bitte posten. Bin für jede Hilfe dankbar.
Deshalb setze ich den Thread erst auf gelöst, wenn ich mir meiner Lösung sicher bin!
Aber DANKE!
Hier ist denke ich alles gesagt.
Falls jemand noch eine findige Idee hat, bitte posten. Bin für jede Hilfe dankbar.
Deshalb setze ich den Thread erst auf gelöst, wenn ich mir meiner Lösung sicher bin!
Aber DANKE!
