Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf VNP Site to Site mit Zertifikaten regeln

Frage Microsoft Windows Server

Mitglied: mixdeby

mixdeby (Level 1) - Jetzt verbinden

29.09.2008, aktualisiert 02.10.2008, 3684 Aufrufe, 9 Kommentare

Hallo zusammen!

Ich habe 2 Standorte mittels einer VPN Site to Site Verbindung miteinander verbunden!

Die Kommunikation untereinader funktioniert nun komplett!

Nun möchte ich aber, dass es nicht allen Nutzern der internen LANs erlaubt sein darf auf den Tunnel zuzugreifen. Deshalb möchte ich gerne eine Zertifikatsbasierende Authentifizierung einführen, die regelt, ob ein Nutzer Zugriff auf den Tunnel hat oder nicht!

Leider fällt mir da keine Möglichkeit ein, wie das zu bewerkstelligen ist.

Vielleich könnte man ja mit einem DHCP Server Adressen aus verschiedenen Subnetzen verteilen und dann eben dem einen Subnetz den Zugriff gestatten und dem anderen nicht. Nur wie steure ich sowas mit Zertifikaten? Das ließe sich doch nur mit MAC Adressen realisieren, was mir aber zu unsicher wäre.

Habt ihr da vll. ne Idee?

Gruß und Danke schonmal im voraus,

Mixdeby!
Mitglied: aqui
30.09.2008 um 10:33 Uhr
Deine Frage ist sowas wie eine Schrotschussfrage ohne Details so das eine qualifizierte Antwort sehr schwer fällt.

Nicht das du es versäumst das VPN Protokoll zu nennen mit dem du diese Site to Site Verbindung realisierst, sondern zur Hardware steht da auch rein gar nichts. Letztlich bleibt dann nur raten...

Gute VPN Gateways und auch einige freie Lösungen wie z.B. das sehr bekannte OpenVPN haben eine Zertifikatsunterstützung oder wenigstens eine Radius Server Unterstützung mit der eine Zertifikatssteuerung problemlos zu realisieren ist.
Es kommt also auf deine Hardware an die diese Site to Site Kopplung macht !

Scheinbar gehst du auch weiterhin von einem Funktionsirrtum bei einem VPN aus bzw. weisst nicht wie so etwas realisiert ist.
Bei einer Site to Site VPN Kopplung ist der VPN Tunnel sowas wie ein weiteres Interface für den Router das erstmal alle Benutzer der Netzwerke auf beiden Seiten transparent den Zugriff erlaubt. Der Nutzer im netz muss sich ja nicht mehr authentifizieren, da der Router beide Netze transparent über den VPN Tunnel verbindet !! Der Router ist also für die Verschlüsselung und Authentifizierung zuständig nicht der einzelne Client im angeschlossenen Netz !!

Was du oben aber beschreibst ist ein sog. Roadwarrior Szenario also ein Remote Dialin Szenario mit dem sich mobile Mitarbeiter per VPN temporär einwählen.
Das hat aber mit einer Site zu Site Kopplung nichts zu tun außer das beide einen VPN Tunnel benutzen um die Datenverbindung herzustellen. Hier muss dann auch der Client authentifiziert werden, nicht aber bei einer Site to Site Kopplung per VPN !

Du beschreibst also 2 Dinge die du dann wild zusammenwürfelst und nach eine Lösung fragst. Auch das macht eine Antwort nicht eben leicht

Ist es denn bei dir wirklich eine Site Zu Site Kopplung, regelt man den Zugriff für gewisse Benutzer oder Teilnehmer in den angeschlossenen LAN Netzen problemlos mit einen Accesslitste die man auf dem VPN Router konfiguriert.
Dort kann man dann einfach und problemlos einstellen wer welche Applikation im Zugriff haben darf.

Mit der richtigen Hardware ist das ein Kinderspiel und sehr einfach zu lösen...
Man muss nur wissen was man hat und was man macht, was bei dir leider nicht ganz klar ist !
Bitte warten ..
Mitglied: mixdeby
30.09.2008 um 14:18 Uhr
Ok, sorry da habe ich wohl zu wenig Informationen fließen lassen!

Nun nochmal:

Ich habe die VPN Site to Site Verbindung mit ISA Server 2004 auf W2k3 realisiert!

Auf beiden Servern habe ich jeweils ein Remotestandortnetzwerk hinzugefügt!

Die Verbindung wird über L2TP aufgebaut und IPsec Zertifikate dienen zur Authentifizierung der beiden Server. Auf einem Server ist eine Zertifizierungsstelle eingerichtet, der beide Server vertrauen.

Nun möchte ich an Standort A den Zugriff auf den VPN-Tunnel insoweit beschränken, dass nur User, die sich mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben. Da wäre es doch sinnvoll einen Radius Server auf Server A zu installieren oder? Ist das möglich und wie?

Leider werde ich im Netz nicht fündig!

Danke schonmal und Gruß

Daniel
Bitte warten ..
Mitglied: aqui
01.10.2008 um 00:25 Uhr
Du mischt schon wieder alles konfus durcheinander und hast von dem oben geschrieben vermutlich nichts verstanden !!!

Nochmal ganz langsam damit du es jetzt verstehst !!
Deine ISA Server arbeiten als Router, wobei der VPN Tunnel eine direkte (virtuelle) IP Schnittstelle darstellt die beide Netze verbindet.
Der ISA ist also ein Router der erstmal 2 Netze transparent über IP verbindet und sonst nichts....
Die Authentifizierung der beiden Rechner bzw. Tunnelendpunkte macht ein Zertifikat, so das du ja schon eine Zertifikatsauthentisierung hast !! Das gilt nur für den Aufbau der VPN Verbindung über ein öffentliches Netz, damit nicht jeder Hans und Franz im Internet Tunnelendpunkt für dich spielen kann und deine Daten belauschen kann !!
Mit der eigentlichen Netzkopplung hat das aber rein gar nichts zu tun !

Generell ist der bestehende Tunnel dann transparent für alle Benutzer im LAN verfügbar.
Diese Benutzer müssen sich NICHT mehr separat authentifizieren, denn sie sehen ja nur einen Router der das für sie erledigt. Den VPN Tunnel als solchen sehen sie ja gar nicht....müssen sie ja auch nicht.

Es gibt also gar keine User die "...mit einem gültigen Zertifikat authentifizieren Zugriff auf den VPN-Tunnel haben.." denn sie müssen sich NICHT authentifizieren.
Genau DAS ist ja der Sinn einer LAN zu LAN VPN Verbindung.

Es ei denn du hast dich ungeschickt ausgedrückt und hast noch mobile Mitarbeiter die sich per VPN einwählen um so ebenfalls Zugriff aufs Netz zu bekommen ???!

Du kannst den Zugang dann nur über die Firewall Funktion des ISA Regeln indem zu bestimmte IPs und TCP Ports sperrst.
Anders ist das nicht möglich !
Bitte warten ..
Mitglied: mixdeby
01.10.2008 um 08:51 Uhr
Ich verstehe sehr wohl was du meinst!

Ich vermische hier auch nichts.

Nun mal gekürzt: Ich möchte am VPN Server (Router) mit Zertifikaten den Zugang auf die Route ins andere Netz regeln.

Deshalb die Frage: Kann man den Zugriff auf eine Route mit Zertifikaten steuern???

Ansonsten könnte man ja auch, wie du bereits erwähnt hast, das ganze mit Firewallregeln steuern. Dazu könnte man ja einen DHCP Server aufsetzen, der bekannten MAC Adressen dann eben IPs aus einem Pool zuweist, der in einer Firewallregel ist, die den Zugang auf die Route in den Tunnel zulässt und allen anderen IPs zuweist, die keinen Zugnag auf den Tunnel haben!

Diese Variante ist mir aber zu unsicher, da durch Abhören der Leitung MAC Adressen ausgelesen und emuliert werden können.

Deshalb würde ich das ganze mit Zertifikaten regeln wollen. Nur ich bezweifle, dass ich IP Adressvergabe zertifikatsbasiert machen kann, denn das Anfordern der IP Adresse passiert rein MAC basiert.

Oder man müsste eine Verschlüsselung schon für Layer 2 einsetzen damit ein Abhören der MAC unmöglich ist!

Nun der Grund warum der Zugang geregelt werden muss: An Standort A befinden sich sowohl Mitarbeiter als auch Freelancer, denen der Zugriff auf unsere Betriebsnetz B eben nicht ermöglicht werden darf!
Bitte warten ..
Mitglied: mixdeby
01.10.2008 um 15:18 Uhr
So!

Ich habe gerade mal einen DHCP Server aufgesetzt! Hiermit vergebe ich nun den Clients, die bekannt sind (Mitarbeiter) reservierte IP Adressen (Statisches DHCP). Alle anderen (Freelancer, Rechner mit unbekannten MACs) bekommen dynamisch aus einem Pool eine IP Adresse zugewiesen.

Anschließend habe ich die Firewallregeln im ISA Server 2004 für den Zugriff auf das entfernte VPN Netz so angepasst, dass nur die IP Adressen Zugriff haben, die ich vorher statisch einer MAC zugeordnet habe.

Der Zugriff ist somit geregelt. Aber wie sicher ist das Ganze? Wie ich oben erwähnt habe, wäre mir eine Zugriffsteuerung mit Zertifikaten lieber. Ist das nicht möglich?

Danke schonmal

Daniel
Bitte warten ..
Mitglied: aqui
02.10.2008 um 10:06 Uhr
Eine Routen Steuerung mit Zertifikaten ist generell technisch NICHT möglich !!!

Zertifikate können lediglich den Zugang von Clients regeln sonst nichts. Niemals eine Wegefindung im IP Netzwerk !!
Das schonmal als Fakt vorweg !!!

Mit deinem Workaround hast du eine Quick and Dirty Lösung implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.

MAC Adressen sind problemlos konfigurierbar und damit kann man dein System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst natürlich niemals !!
Bitte warten ..
Mitglied: mixdeby
02.10.2008 um 10:32 Uhr
Zitat von aqui:
Eine Routen Steuerung mit Zertifikaten ist generell technisch NICHT
möglich !!!

Genau das leuchtet mir langsam auch ein. Denn wenn man das mal ganz nüchtern betrachtet, passiert Routing auf Layer 3. Und hier sind Zertifikate absolut noch kein Thema.


Mit deinem Workaround hast du eine Quick and Dirty Lösung
implementiert, die dir erstmal hilft und nur vermeintlich sicher ist.

MAC Adressen sind problemlos konfigurierbar und damit kann man dein
System sofort und problemlos aushebeln.
Es ist aber ein erster Schritt der die Hürde für einen
Zugang und damit die Sicherheit wenigstens etwas höher legt !
Ganz sicher ist es aber wie du dir selber denken kannst
natürlich niemals !!
Genau deshalb schau ich mir jetzt mal an, was mit dem ISA Firewallclient so möglich ist!

Aber Danke für Dein Bemühen
Bitte warten ..
Mitglied: aqui
02.10.2008 um 10:47 Uhr
Es gibt dynamische Routing Protokolle die eine Verschlüsselung haben und Authentisierung ihrer Neighbors durchführen wie z.B. OSPF mit MD-5 Passwörtern aber auch damit ist eine Routensteuerung niemals möglich da eben nur Layer 3.

Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: mixdeby
02.10.2008 um 13:33 Uhr
Ich schaue mir das am Montag nochmal an. Und werde dann wohl eine "Lösung" auswählen.

Hier ist denke ich alles gesagt.

Falls jemand noch eine findige Idee hat, bitte posten. Bin für jede Hilfe dankbar.

Deshalb setze ich den Thread erst auf gelöst, wenn ich mir meiner Lösung sicher bin!

Aber DANKE!
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Site-to-Site VPN Subnetzübergreifender NAS-Zugriff
Frage von matsmatsNetzwerkgrundlagen4 Kommentare

Hallo zusammen, ich tüften gerade ein wenig mit meinem Netzwerk und dem meiner Eltern herum. Und zwar besitzen wir ...

Microsoft Office
Access Zugriff auf Bearbeiter neu regeln
gelöst Frage von Sophia87Microsoft Office4 Kommentare

Hallo liebe Community, ich bin neu hier und bräuchte eure Hilfe. Ich habe im Netz nach Lösungen für mein ...

Router & Routing
Site to Site VPN mit PfSense - Zugriff auf Remote Netze nicht möglich.
gelöst Frage von RRESEARCHRouter & Routing6 Kommentare

Hallo, wir haben 2 pfsense Firewalls an unterschiedlichen Standorten. An Standort A stehen unsere Server, an Standort B befinden ...

Windows Server
Site to Site VPN (Kein Zugriff von Client auf Remote Server)
gelöst Frage von subseeWindows Server3 Kommentare

Moin, ich habe folgendes Problem. Ich hab 2 Standorte mittels Site to Site VPN verbunden. Routing und Ras (Wählen ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 15 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 20 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 20 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...