Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 969 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN User in seinen Arbeitsbereich behalten

Patrick Lachmann

Moin Kolleginnen und Kollegen,

 

ich habe folgendes Case:
Eine Firma bekommt zu Wartungszwecken einen VPN-Zugang mit dem Zugriff auf zwei Geräten in einem VLAN. Wie das geht ist nicht das Problem.
In diesem VLAN gibt es noch andere Geräte, die er direkt über den VPN-Zugang zwar nicht erreichen kann, aber durch den Zugriff auf einer Maschine in diesem Netz hat er ja die Möglichkeit, auf andere Geräte in diesem Subnetz zuzugreifen.

Gibt es hierzu Lösungen?

Alle Zulieferer in eigene VLANs zu packen wäre administrativ ein immenser Aufwand (~50 Switche an 9 Standorten etc. pp.)

Danke für eure Gedanken!
Gruß, Patrick



This thread was automatically locked due to age.
Parents
  • 0

    moin,

    für die Anmeldung nutzt die Firma vermutlich gesonderte Anmeldedaten?

    Wenn ja, dann schränke doch das/die Benutzerkonto/-konten so ein, dass die nicht auf die anderen Maschinen dürfen, bzw. nur das dürfen, was sie sollen...

    Wenn nein, warum nicht?

     

    mfg

Reply
  • 0

    moin,

    für die Anmeldung nutzt die Firma vermutlich gesonderte Anmeldedaten?

    Wenn ja, dann schränke doch das/die Benutzerkonto/-konten so ein, dass die nicht auf die anderen Maschinen dürfen, bzw. nur das dürfen, was sie sollen...

    Wenn nein, warum nicht?

     

    mfg

Children
  • 0 in reply to mtd1311

    Wie ich versuchte zu erklären, ist es nicht ein Thema von User --> VPN --> Firewall --> Device, da kannst du natürlich IP und Portgenau arbeiten.

    Wenn wir aber nun als Beispiel eine WindowsVM hernehmen mit der du dich verbinden darfst, dann kannst du von dem _internen_ Gerät ja im gesamten Subnetz rumrühren (je nach Begebenheiten natürlich).

    Meine Zielgeräte beinhalten keine Firewalls oder anderen Features.

  • 0 in reply to Patrick Lachmann

    Entschuldigung, ich meinte natürlich Betriebssystem Benutzer...

    Ich gehe mal von einem Windows Netzwerk aus?

    folgendes Szenario:

     

    Server1 und Server2 sind im gleichen Subnetz und können untereinander kommunizieren. Per Firewall Policy darf der VPN-User nur z.B. RDP auf Server1 und nicht auf Server2. <- Bis hierhin klappt es bei dir ja...

    Jetzt kann er natürlich eine weitere RDP Verbindung von Server1->Server2, da hier weder eine Firewall noch ein weiteres Gateway dazwischen ist.
    Aber: wenn du dem User nicht das Recht zur RDP Anmeldung an Server2 einräumst, dann darf er das auch nicht. 

    Wenn man natürlich mit Domainadmin-Rechten arbeitet, wird das nichts...

     

    VG

  • 0 in reply to mtd1311

    Ich habe das befürchtet, dass mein Beispiel den falschen weg weist ^^

     

    Ich rede von SPS-Steuerungen und alles was sonst so in der Branche ansässig ist, leider auch Windows Embeddetkisten ohne AD. Maschinen interagieren mit dieser oder anderen SPS.

    Wenn nun die als Beispiel die Firma Siemens für die Maschine 1 und 2 einen VPN Zugang erhält, könnte sie mehr IM Maschinensubnetz (Beispiel: VLAN 1234 mit 10.10.10.10/24) erreichen als sie sollten.

    Nun fehlt mir die Fantasie wie man dieses weiter segmentiert.

  • 0 in reply to Patrick Lachmann

    Anhang: Ich bin am Überlegen, dass ich kleinere Subnetze *.*.*.*/29 ausgebe.

  • 0 in reply to Patrick Lachmann

    ja, kleinere Subnetze und dann über die Firewall routen... aber musst du dann nicht trotzdem mit VLANs arbeiten oder macht ihr nur feste IPs?

  • 0 in reply to mtd1311

    Ich wollte mir eigentlich nur das Leben vereinfachen und hoffte, dass es was schöneres gibt.

    Mit Nachdenken kam ich drauf, dass das nur Wunschdenken ist ^^

     

    Hatte wohl das client isolation vom WLAN vor Augen.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML