Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 27 subscribers
  • Views 7146 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN - Authentifizierung des Client-Geräts möglich?

WaldemarWalter

Hallo zusammen,
bei uns gibt es folgende Anforderung. Wenn sich ein Benutzer mit einem geschäftlichen Notebook (Windows) am VPN anmeldet, dann darf er auf besonders schützenswerte interne Daten zugreifen. Wenn er sich aber mit einem privaten Gerät am VPN anmeldet, dann soll sein Zugriff beschränkt sein. Kann man das mit einer Sophos UTM lösen? Die besonders schützenswerten Daten liegen auf einem extra Server. Dadurch kann der Zugriff darauf über dessen IP in der zentralen Firewall gefiltert werden.

Ich habe gesehen, dass man mit IPsec-VPN eine Zertifikatsanmeldung einrichten kann. Aber das digitale Zertifikat liegt in Form einer Datei vor und kann somit vom Benutzer leicht auf andere Geräte kopiert werden.

Für Tipps wäre ich sehr dankbar!



This thread was automatically locked due to age.
Parents
  • 0

    Hi WaldemarWalter,

    eine Authentifizierung des Gerätes gibt es nicht wie Bob schon gesagt hat.

    Aber vielleicht reicht Dir die Möglichkeit die Quell-MAC-Adresse zu beschränken.
    Dann könntest du eine Regel mit dem User Network Objekt erstellen und dort zusätzlich eine MAC Adressbindung.

    So kann zumindest von einem anderem Gerät nicht der Zugriff stattfinden, solange die MAC Adresse nicht stimmt.

    Gruß
    DKKDG

  • 0 in reply to DKKDG

    Great suggestion, DKKDG.  It might be difficult to do that in a larger organization, but if there a less than a few dozen company laptops then this works well.  For example, in an SSL VPN Profile, do not select 'Automatic firewall rules'.  Then, make a firewall rule like

    VPN Pool SSL -> Any -> Any : Allow if MAC in {MAC object containing allowed MACs}

    Then again, I bet the remote laptop's MAC is not in the packet that traverses the tunnel.  Did that experiment work?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Vielleicht nicht die vom Laptop selbst, aber die vom SSL VPN Adapter.

    Aber ich habe bisher nicht überprüft, ob die physikalische Adresse immer die gleiche ist.

    Gruß
    DKKDG

  • 0 in reply to DKKDG

    Hallo zusammen,

    danke schön für eure Tipps!

    Kommt denn die MAC-Adresse des Clients bei der Sophos UTM an, wenn die VPN-Verbindung über das Internet aufgebaut wird? Normalerweise wird sie ja von den Routern dazwischen überschrieben.

  • 0 in reply to WaldemarWalter

    I thought about that, Walter, but that MAC is in the header of the packet containing the encrypted packet.  I don't think there's a MAC inside the encrypted packet, but I've never looked for that.  Hopefully, someone that has tried this will chime in and confirm one way or the other.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Reply
  • 0 in reply to WaldemarWalter

    I thought about that, Walter, but that MAC is in the header of the packet containing the encrypted packet.  I don't think there's a MAC inside the encrypted packet, but I've never looked for that.  Hopefully, someone that has tried this will chime in and confirm one way or the other.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Children
  • 0 in reply to BAlfson

    Hallo zusammen,

    danke für eure Rückmeldungen!

    Ich dachte bis jetzt, NAC ist etwas für das eigene LAN und WLAN. Gibt es NAC auch über das Internet? Da würde auch Microsoft DirectAccess infrage kommen aber dafür bräuchte man IPv6 im LAN.

    Im Moment scheint es mir, dass die Geräte-Authentifizierung mit Sophos noch nicht möglich ist.