Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 25 subscribers
  • Views 5798 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access SSL - Best Practice beim Regelwerk

tetris
Hallo zusammen, 

es gibt ja mehrer Möglichkeiten Usern den Zugriff ins LAN zu erlauben und diesen zu reglementieren. Wie handhabt ihr das?

Mein Gedanke war:

- Einwahl via SSL
- Für Usergruppen SSL Profile hinterlegen, so wird klar getrennt wer was darf. 
- Wenn nun noch Differenzierungen innerhalb der Gruppen benötigt werden, so würde ich dies in der Firewall über Regeln definieren. Z.B. darf nicht der ganze VPN-Pool auf Maschine1 via RDP zugreifen, dann kann man entweder via Gruppe oder mit einzelnen Usernamen arbeiten, um den Zugriff zu erlauben oder zu verbieten.


- Alternativ wäre, ich erstelle nur ein SSL Profil und regel alles über die Zugehörigkeit der User zu bestimmten Gruppen und Firewall Regeln.

Was meint ihr? Welchen Weg sollte ich wählen?


This thread was automatically locked due to age.
Parents
  • 0
    Hi tetris,

    Also wenn die User auch Domain User sind, dann würde ich wie folgt vorgehen.
    Wenn nicht, dann lokale UTM User anlegen und in Gruppen packen.

    Im AD Gruppen anlegen oder lokale auf der UTM

    SSL VPN Profile anlegen - AD Gruppen hinzufügen oder halt lokale UTM User - Zugriff ins VLAN erlauben - Haken bei "Automatische Firewallregeln" raus

    Dann Firewallregeln erstellen, wohin Zugriff sein soll, vergiss nicht DNS, leider ist das (warum auch immer, immer noch nicht Profilabhängig!!! Nebenbei @Entwicklung: bitte ändern!)

    Aber wenn bereits Zugriff auf ein Host im Netzwerk da ist, dann löst man das nur mit VLANs, sonst ist er im LAN.

    Nice greetings
Reply
  • 0
    Hi tetris,

    Also wenn die User auch Domain User sind, dann würde ich wie folgt vorgehen.
    Wenn nicht, dann lokale UTM User anlegen und in Gruppen packen.

    Im AD Gruppen anlegen oder lokale auf der UTM

    SSL VPN Profile anlegen - AD Gruppen hinzufügen oder halt lokale UTM User - Zugriff ins VLAN erlauben - Haken bei "Automatische Firewallregeln" raus

    Dann Firewallregeln erstellen, wohin Zugriff sein soll, vergiss nicht DNS, leider ist das (warum auch immer, immer noch nicht Profilabhängig!!! Nebenbei @Entwicklung: bitte ändern!)

    Aber wenn bereits Zugriff auf ein Host im Netzwerk da ist, dann löst man das nur mit VLANs, sonst ist er im LAN.

    Nice greetings
Children
  • 0 in reply to GuyFawkes
    Hallo, 

    SSL VPN Profile anlegen - AD Gruppen hinzufügen oder halt lokale UTM User - Zugriff ins VLAN erlauben - Haken bei "Automatische Firewallregeln" raus

    Genau so mache ich es und definiere dann die entsprechenden Firewall Regeln.
    (User1 darf RDP auf Host1 oder analog eben mit Gruppen)
    Man könnte aber ja auch allen VPN Usern Zugriff auf alle Netze geben und nur noch via Firewall regel Zugriffe defnieren. Dann müsste man gar keine SSL Profile erstellen, das wäre der Gedanke.


    Aber wenn bereits Zugriff auf ein Host im Netzwerk da ist, dann löst man das nur mit VLANs, sonst ist er im LAN.
    --> Was meinst Du hier genau?

    Dann Firewallregeln erstellen, wohin Zugriff sein soll, vergiss nicht DNS
    --> Warum DNS? Würden dann nicht alle Anfragen von außen (auch lokales http z.B.) primär an den DNS des VPN gesendet? Das DNS ist doch nur interessant, wenn ich z.B. RDP via Hostname aufrufen möchte.

    Danke!
  • 0 in reply to tetris
    Hallo, 

    SSL VPN Profile anlegen - AD Gruppen hinzufügen oder halt lokale UTM User - Zugriff ins VLAN erlauben - Haken bei "Automatische Firewallregeln" raus

    Genau so mache ich es und definiere dann die entsprechenden Firewall Regeln.
    (User1 darf RDP auf Host1 oder analog eben mit Gruppen)
    Man könnte aber ja auch allen VPN Usern Zugriff auf alle Netze geben und nur noch via Firewall regel Zugriffe defnieren. Dann müsste man gar keine SSL Profile erstellen, das wäre der Gedanke.


    Ich erstelle SSL-VPN Profile und trage dann das Netzwerk ein, dies wird für das Setzten der Routen verwendet. Wichtig: Haken bei "Automatische FW Regeln" deaktivieren.
    Firewallregel (Beispiel):
    Allow: "Dienstleister User (Network)" - RDP - Server 1 (192.168.2.10/24)
    Allow: "Dienstleister User (Network)" - DNS - DNS Server (192.168.1.15/24)

    Das mit den SSL-VPN Profilen mache ich aus dem Grunde sehr granular, weil ich ja die Hoffnung habe, hier zukünftig DNS Einstellungen für jedes Profil machen zu können. Daher will ich diese Profile nutzen. Außerdem sieht es logischer aus [;)]


    Aber wenn bereits Zugriff auf ein Host im Netzwerk da ist, dann löst man das nur mit VLANs, sonst ist er im LAN.
    --> Was meinst Du hier genau?


    Falls ein Dienstleister auf einen Server drauf muss und du möchtest sicherstellen, dass der in dem Produktiv LAN kein "Mist" baut, erstelle ich dafür ein seperates VLAN --> nenn es DMZ, wo der Server dann drin ist.


    Dann Firewallregeln erstellen, wohin Zugriff sein soll, vergiss nicht DNS
    --> Warum DNS? Würden dann nicht alle Anfragen von außen (auch lokales http z.B.) primär an den DNS des VPN gesendet? Das DNS ist doch nur interessant, wenn ich z.B. RDP via Hostname aufrufen möchte.

    Danke!


    Korrekt, an den DNS des VPNs und diesen kannst du nur einmal global Einrichten und was ist, wenn du in das Netz gar kein Zugriff hast bzw. haben darfst, dann geht DNS nicht.

    Die UTM selbst ist nur Forwarder und hat keinen eigenen DNS Server.
    Stell dir vor, du hast vier Subnetzte oder mehrere Domänen hinter einer UTM.

    Mitarbeiter 1 - soll nur ins Produktiv LAN
    Mitarbeiter 2 - soll nur ins Marketing LAN
    Dienstleister 1 - soll nur auf eine bestimmte Maschine
    Dienstleister 2 - soll nur auf Share Point in der DMZ

    Untereinander haben die Netzwerke nicht unbedingt Zugriff und ggf. auch separate DNS Server.

    Ich habe Anwendungen die z.B. nur mit einem Hostnamen funktionieren.
    server1.firma.local 
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?