5
Firmenlaptops nur per VPN ins Internet lassen
Hallo zusammen,
gibt es eine Möglichkeit, dass meine Firmenlaptops erst im Internet surfen können,
wenn sie per VPN im Firmennetz sind?
Danke für eure Hilfe.
VG
gibt es eine Möglichkeit, dass meine Firmenlaptops erst im Internet surfen können,
wenn sie per VPN im Firmennetz sind?
Danke für eure Hilfe.
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 617236
Url: https://administrator.de/contentid/617236
Printed on: April 18, 2024 at 01:04 o'clock
5 Comments
Latest comment
Frage zurück: wie soll die VPN Verbindung dann aufgebaut werden, wenn Internetzugriff nur mit VPN möglich ist? 
Grüße
tomolpi
Grüße
tomolpi
Geht.
Er braucht einen Proxy der per GPO verteilt wird und vom Benutzer nicht deaktiviert werden kann. Dann muss er seinem VPN-Client noch per Konfiguration mitgeben, dass der komplette Traffic durch den Tunnel muss.
Damit kann an der zentralen Firewall der Verkehr geregelt werden.
Alternativ zum Proxy müsste auch funktionieren die Client-Firewall so zu konfigurieren, dass auf dem normalen Netzwerkinterface nur VPN erlaubt ist und alles andere geblockt wird. Durch den Tunnel darf und muss dann wieder alles durch.
Manuel
Er braucht einen Proxy der per GPO verteilt wird und vom Benutzer nicht deaktiviert werden kann. Dann muss er seinem VPN-Client noch per Konfiguration mitgeben, dass der komplette Traffic durch den Tunnel muss.
Damit kann an der zentralen Firewall der Verkehr geregelt werden.
Alternativ zum Proxy müsste auch funktionieren die Client-Firewall so zu konfigurieren, dass auf dem normalen Netzwerkinterface nur VPN erlaubt ist und alles andere geblockt wird. Durch den Tunnel darf und muss dann wieder alles durch.
Manuel
Moin,
Ja. Aber um das beantworten zu können, müsste man schon wissen, was das für ein VPN ist, wie und wann es aufgebaut wird.
Liebe Grüße
Erik
Zitat von @ToHa01:
gibt es eine Möglichkeit, dass meine Firmenlaptops erst im Internet surfen können,
wenn sie per VPN im Firmennetz sind?
gibt es eine Möglichkeit, dass meine Firmenlaptops erst im Internet surfen können,
wenn sie per VPN im Firmennetz sind?
Ja. Aber um das beantworten zu können, müsste man schon wissen, was das für ein VPN ist, wie und wann es aufgebaut wird.
Liebe Grüße
Erik
Moin,
VPN-Verbindung ist OSI 3/4. Im Internet surfen ist OSI 5-7. Internetzugriff ist ein schwammiger Begriff. Deshalb kann ich sehr wohl dafür sorgen, dass alles, was von den höheren OSI-Ebenen kommt, nur das benutzt, was ich auf den unteren erlaube. Das ist ja der Witz bei einem Schichtenmodell. Jede Schicht erledigt ihre Aufgabe, ohne sich darum zu kümmern, was die darunterliegende und was die darüberliegende mit dem Payload macht. Das Paket wird brav abgegeben und sich blind darauf verlassen, dass die Schicht darunter und darüber schon das Richtige damit macht.
Eine Möglichkeit, die wahre Verbindung zu verbergen, wurde schon genannt. Das ist der Zwangsproxy. Der ist entweder lokal installiert oder in größeren Einheiten ein Server auf einer eigenen Maschine. Der Client wird so konfiguriert, dass auch bei Kenntnis der tatsächlichen Internetverbindung keine Verbindung zustande kommen kann. Es wird einfach kein Router eingetragen. Schon ist der Rechner an sich von der Welt getrennt. Wahlweise kann man auch die Windows-Firewall so konfigurieren, dass sie jeden Traffic, der nach außen geht, außer den, den man für die VPN-Verbindung braucht, blockiert. Und schon kann der User sich auf den Kopf stellen. Er kommt nicht mehr raus.
Noch schicker wird es, wenn man die tatsächliche Verbindung vor dem Userspace komplett verbirgt. Wenn man z. B. die VPN-Verbindung vor der Benutzeranmeldung aufbaut, dann steht sie schon bevor der Userspace überhaupt da ist. (Vorausgesetzt, es wird damit gewartet, bis das Netz steht. Aber das sollte selbstverständlich sein.) Jetzt kann ich dem Userspace nur die VPN-Verbindung zur Verfügung stellen und die echte Verbindung vollständig maskieren. Wenn man sowas allerdings auf Notebooks macht, sollte man dafür sorgen, dass sie ohne Smartcard oder ähnlichem nicht hochfahren.
Zwischen den beiden Möglichkeiten - die Lösung mit dem Proxy würde ich als die unsicherste und die mit dem VPN-Tunnel vor Anmeldung, vorausgesetzt, es ist alle korrekt konfiguriert, als die sicherste bezeichnen - gibt es noch viele Abstufungen. Das kommt auf den Kompromiss zwischen Sicherheitsbedürfnis und Aufwand an. Wenn ich fünf Notebooks einrichten sollte, die vertrauenswürdigen Personen gehören (z. B. Chef, Prokurist, Personalchef oder aber User, denen ich vertraue), dann würde ich wahrscheinlich die erste Lösung wählen. Wenn es um 1.000 Mitarbeiter geht, dann würde ich den Aufwand treiben, es unmöglich zu machen, das wahre Netz zu sehen, selbst wenn sich ein admin anmeldet. Jetzt muss nur noch das Problem gelöst werden, wie dem System das Passwort des Hotel-Netzes mitgeteilt werden kann. Und der User muss über den VPN-Tunnel gehen. Jenseits dieses Tunnels ist sein Router ins Internet.
Liebe Grüße
Erik
Liebe Grüße
Erik
Zitat von @tomolpi:
Frage zurück: wie soll die VPN Verbindung dann aufgebaut werden, wenn Internetzugriff nur mit VPN möglich ist?
Frage zurück: wie soll die VPN Verbindung dann aufgebaut werden, wenn Internetzugriff nur mit VPN möglich ist?
VPN-Verbindung ist OSI 3/4. Im Internet surfen ist OSI 5-7. Internetzugriff ist ein schwammiger Begriff.
Deshalb kann ich sehr wohl dafür sorgen, dass alles, was von den höheren OSI-Ebenen kommt, nur das benutzt, was ich auf den unteren erlaube. Das ist ja der Witz bei einem Schichtenmodell. Jede Schicht erledigt ihre Aufgabe, ohne sich darum zu kümmern, was die darunterliegende und was die darüberliegende mit dem Payload macht. Das Paket wird brav abgegeben und sich blind darauf verlassen, dass die Schicht darunter und darüber schon das Richtige damit macht.Eine Möglichkeit, die wahre Verbindung zu verbergen, wurde schon genannt. Das ist der Zwangsproxy. Der ist entweder lokal installiert oder in größeren Einheiten ein Server auf einer eigenen Maschine. Der Client wird so konfiguriert, dass auch bei Kenntnis der tatsächlichen Internetverbindung keine Verbindung zustande kommen kann. Es wird einfach kein Router eingetragen. Schon ist der Rechner an sich von der Welt getrennt.
Wahlweise kann man auch die Windows-Firewall so konfigurieren, dass sie jeden Traffic, der nach außen geht, außer den, den man für die VPN-Verbindung braucht, blockiert. Und schon kann der User sich auf den Kopf stellen. Er kommt nicht mehr raus.Noch schicker wird es, wenn man die tatsächliche Verbindung vor dem Userspace komplett verbirgt. Wenn man z. B. die VPN-Verbindung vor der Benutzeranmeldung aufbaut, dann steht sie schon bevor der Userspace überhaupt da ist. (Vorausgesetzt, es wird damit gewartet, bis das Netz steht. Aber das sollte selbstverständlich sein.) Jetzt kann ich dem Userspace nur die VPN-Verbindung zur Verfügung stellen und die echte Verbindung vollständig maskieren. Wenn man sowas allerdings auf Notebooks macht, sollte man dafür sorgen, dass sie ohne Smartcard oder ähnlichem nicht hochfahren.
Zwischen den beiden Möglichkeiten - die Lösung mit dem Proxy würde ich als die unsicherste und die mit dem VPN-Tunnel vor Anmeldung, vorausgesetzt, es ist alle korrekt konfiguriert, als die sicherste bezeichnen - gibt es noch viele Abstufungen. Das kommt auf den Kompromiss zwischen Sicherheitsbedürfnis und Aufwand an. Wenn ich fünf Notebooks einrichten sollte, die vertrauenswürdigen Personen gehören (z. B. Chef, Prokurist, Personalchef oder aber User, denen ich vertraue), dann würde ich wahrscheinlich die erste Lösung wählen. Wenn es um 1.000 Mitarbeiter geht, dann würde ich den Aufwand treiben, es unmöglich zu machen, das wahre Netz zu sehen, selbst wenn sich ein admin anmeldet. Jetzt muss nur noch das Problem gelöst werden, wie dem System das Passwort des Hotel-Netzes mitgeteilt werden kann. Und der User muss über den VPN-Tunnel gehen. Jenseits dieses Tunnels ist sein Router ins Internet.
Liebe Grüße
Erik
Liebe Grüße
Erik
2
Direct Access bzw Allways On VPN ermöglichen das.
