Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 25 subscribers
  • Views 5798 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access SSL - Best Practice beim Regelwerk

tetris
Hallo zusammen, 

es gibt ja mehrer Möglichkeiten Usern den Zugriff ins LAN zu erlauben und diesen zu reglementieren. Wie handhabt ihr das?

Mein Gedanke war:

- Einwahl via SSL
- Für Usergruppen SSL Profile hinterlegen, so wird klar getrennt wer was darf. 
- Wenn nun noch Differenzierungen innerhalb der Gruppen benötigt werden, so würde ich dies in der Firewall über Regeln definieren. Z.B. darf nicht der ganze VPN-Pool auf Maschine1 via RDP zugreifen, dann kann man entweder via Gruppe oder mit einzelnen Usernamen arbeiten, um den Zugriff zu erlauben oder zu verbieten.


- Alternativ wäre, ich erstelle nur ein SSL Profil und regel alles über die Zugehörigkeit der User zu bestimmten Gruppen und Firewall Regeln.

Was meint ihr? Welchen Weg sollte ich wählen?


This thread was automatically locked due to age.
Parents
  • 0
    Ich bevorzuge es für Unternehmenszugehörige mit AD-Gruppen zu arbeiten, welchen dann Firewallregeln zugewiesen werden (Group Network). Profil ist hier ein Einziges mit allen Netzen.

    Für Dienstleister gibt es dann Firewallregeln mit User Network. Hier verwende ich übrigens recht oft die Einwahl via L2TP, da der ein oder andere sich den SSL-VPN-Client nicht installieren möchte.

    Eine Vielzahl von Profilen nutze ich eher selten da die Firewall Alles regeln kann.
    Eigentlich nur interessant wenn man dem Einwählenden nicht gleich alle Netze verraten möchte.

    DNS kann man übrigens auch über statische Einträge direkt in der UTM regeln, wenn man kein vollständiges Forewarding haben möchte, denn die UTM hat sehr wohl eine DNS-Funktionalität. Dann darf allerdings auch die bedingte DNS-Weiterleitung nicht aktiv sein.
    Aber ich stimme dem voll und ganz zu - es wäre ideal, wenn man den Profilen unterschiedliche DNS-Einstellungen geben könnte.

    Grüße
    Sebastian
Reply
  • 0
    Ich bevorzuge es für Unternehmenszugehörige mit AD-Gruppen zu arbeiten, welchen dann Firewallregeln zugewiesen werden (Group Network). Profil ist hier ein Einziges mit allen Netzen.

    Für Dienstleister gibt es dann Firewallregeln mit User Network. Hier verwende ich übrigens recht oft die Einwahl via L2TP, da der ein oder andere sich den SSL-VPN-Client nicht installieren möchte.

    Eine Vielzahl von Profilen nutze ich eher selten da die Firewall Alles regeln kann.
    Eigentlich nur interessant wenn man dem Einwählenden nicht gleich alle Netze verraten möchte.

    DNS kann man übrigens auch über statische Einträge direkt in der UTM regeln, wenn man kein vollständiges Forewarding haben möchte, denn die UTM hat sehr wohl eine DNS-Funktionalität. Dann darf allerdings auch die bedingte DNS-Weiterleitung nicht aktiv sein.
    Aber ich stimme dem voll und ganz zu - es wäre ideal, wenn man den Profilen unterschiedliche DNS-Einstellungen geben könnte.

    Grüße
    Sebastian
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?