Wir haben eine Firewall (Sonicwall NSA) gekauft und sie wird mit 2 SSLVPN-Lizenzen geliefert. Damit können wir auch NetExtender herunterladen, was meines Wissens eine Art VPN-Sitzung zwischen dem lokalen Client und unserer Firewall aufbaut und den lokalen PC zu einem Teil unseres LAN macht. Ich habe ein bisschen nach der Sicherheit gesucht, da ich ziemlich besorgt bin, dass der Laptop eines Benutzers Teil unseres LAN wird. Angenommen, dies stellt eine Art IPSec-Verbindung her? Wenn ich das richtig verstehe, sind die Pakete verschlüsselt und so weiter. Fragen:
Aber ich bin mir nicht sicher, was das bringt, wenn der Laptop des Benutzers nun Teil des gesamten Netzwerks ist? Alles darauf, z. B. Viren, kann nun ungehindert in andere Teile des LANs gelangen. Ist das sicher? Wenn nicht, ist die korrekte Verwendung dann, VPN nur für „administrierte“ Laptops und PCs zuzulassen, auf denen die richtigen Konfigurationen (Firewall, Virenschutz usw.) konfiguriert sind?
Ist SSLVPN (in diesem speziellen Fall habe ich nur den SSLVPN-Client von Sonicwall) in diesem Fall die bessere Wahl? Zumindest bei Sonicwall erlaubt deren SSLVPN nur RDP- und SSH-Terminals, eine eingeschränkte Anwendungsnutzung? Und der lokale PC wird nicht Teil des Netzwerks. Oder es ist wirklich nicht so sicher, wie es scheint.
Dank im Voraus
BEARBEITEN: Um auf den Kommentar zu antworten: Der Zweck von SSLVPN besteht für die meisten unserer Benutzer darin, Remotedesktop verwenden zu können.
Antwort1
Ich glaube, Sie spannen hier den Karren vor das Pferd. Sie haben keine Anforderungen an die Anwendungen dargelegt, die die Remote-Benutzer verwenden müssen. Ohne diese ist es schwierig, eine konkrete Antwort zu geben.
Ganz gleich, für welche Technologie Sie sich entscheiden, wichtig ist, dass Sie entsprechende Zugriffskontrollen einrichten. Ein Computer im VPN hat normalerweise keinen Grund, mit etwas anderem als einer ausgewählten Gruppe von Servern zu kommunizieren, und wahrscheinlich nicht mit den Arbeitsstationen im Remote-Büro und höchstwahrscheinlich auch nicht mit anderen VPN-Clients.
Dieses Ziel kann je nach verwendeter Zugriffstechnologie auf unterschiedliche Weise erreicht werden. Bei der ersten Option, die Sie beschreiben, würde diese Art der Zugriffskontrolle auf Netzwerkebene mithilfe von Firewall-Regeln erfolgen. Bei der zweiten Option würden Sie sie einschränken, indem Sie die Anwendungen konfigurieren, auf die der Benutzer zugreifen darf.
Normalerweise bietet eine Lösung wie die oben beschriebene SSLVPN-Lösung mehr Detailliertheit und Kontrolle, allerdings auf Kosten der Anwendungskompatibilität.