Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4159 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Datenzugriff via VPN blockieren

futures1988
Guten Abend zusammen,

Ich möchte gerne wissen, wie man seine ASG am besten konfiguriert,
damit die VPN User auf interne Netzwerk keinen Datenzugriff haben?

Momentan habe ich folgende Packetfilter Rule erstellt:

Quelle: VPN Testuser
Dients: Microsoft SMB
Ziel:     Internal Network

Action: Drop / Reject

Ich bin die Regel gerade am Testen. Ich habe auch noch andere Dienste nicht zugelassen. Der Sinn der Sache ist, dass die VPN User unsere DSL Leitung nicht zu fest belasten. Es soll Ihnen nur der Zugriff aufs Outlook gewährleistet werden, welches eine Verbindung mit dem internen Exchange Server herstellt. Dattenzugriff sowie der ganze Rest soll geblockt werden.

Habt Ihr vielleicht eine Lösung oder einen guten Tipp für mich bereit?

Vielen Dank und Gruss


This thread was automatically locked due to age.
  • 0
    Mit SSL würde man statt "Internal (Network)" einfach nur den Exchange Server in 'Local networks' hineinfügen.  Dann brauchst Du gar keine zusätzliche Packetfilterregel, da es nichts zu blockieren gibt!

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ich möchte aber eiegntlich auf der aktuellen konfiguration weiterfahren, da sich alle Mitarbeiter daran gewöhnt haben, sich via PPTP ins VPN einwählen zu können.

    Die Regel welche ich im obigen Post beschrieben habe, hat anfänglich auch tiptop funktioniert... nur habe ich nun von den Mitarbeitern erfahren dass sie seit einiger Zeit Zugriff auf das Datenlaufwerk haben, und somit auch ins ERP System.. und das will ich unbedingt unterbinden. Sie sollen lediglich Ihren Outlook2003 Client starten, und mit dem Exchange verbinden dürfen. Internet via Firewall darf auch funktionieren.
  • 0 in reply to futures1988
    Ich möchte aber eiegntlich auf der aktuellen konfiguration weiterfahren, da sich alle Mitarbeiter daran gewöhnt haben, sich via PPTP ins VPN einwählen zu können.

    Die Regel welche ich im obigen Post beschrieben habe, hat anfänglich auch tiptop funktioniert... nur habe ich nun von den Mitarbeitern erfahren dass sie seit einiger Zeit Zugriff auf das Datenlaufwerk haben, und somit auch ins ERP System.. und das will ich unbedingt unterbinden. Sie sollen lediglich Ihren Outlook2003 Client starten, und mit dem Exchange verbinden dürfen. Internet via Firewall darf auch funktionieren.


    Hum, warum machst dus eigentlich nicht andersherum?
    So, wie ich das lese erlaubst du deinen Nutzern alles und schliesst die SMB Tätigkeit aus. Folgender Vorschlag:
    Du löscht alle Rules die du bis jetzt hast (Da es ja keine automatic packet filter rule gibt, gehe ich mal davon aus, du hast eine:
    PPTP Pool -> any -> any regel
    drin.
    Mein Vorschlag wäre, wenn du das auf folgendes änderst:
    PPTP Pool -> Mail -> Exchange Server
    Dann kann aus dem PPTP Pool nur noch ein Zugriff auf den Exchange Server erfolgen.
    Eure Datenleitung soll ja durch die Externen nicht zum surfen genutzt werden, oder?

    Grüße

    Schroeder
  • 0
    Momentan ist hinterlegt, dass unser DHCP den Clients eine IP zuteilt, also kommt der VPN Pool nicht zum zug.

    Doch die Idee war mal, dass die User mit Ihren Laptops extern nur Surfen dürfen sobald sie sich ins VPN eingeloggt haben, und dann über die Firewall surfen. Damit die Websiten weiterhin geblock / der Content gefilter wird auf Viren und Spyware etc...

    Momentan ist die Regel aktiv welche ich oben beschrieben habe.

    Die VPN User habe ich einer Gruppe zugewiesen (VPN Users)

    Folgende Dienste habe ich auch in eine Gruppe namens "VPN Services not allowed" zusammengefasst (AOL IM, Google Talk IM, Microsoft SMB, Netbios SSN, POP3,  SMTP, TFTP)

    Dann habe ich eine Packetfilter Rule erstellt welche wie folgt aussieht:

    Source:           VPN Users
    Service:          VPN Services not allowed
    Destination:   Internal Network

    Action:           Reject
    Time Event:    Always
  • 0 in reply to futures1988
    Bekommen die externen User vom DHCP einen anderen IP-Adressbereich als die Internen User? (müsste ja eigentlich so sein)
    Dann definiere doch bitte die Regel, was du erlauben möchtest für diesen Bereich.
    Ich glaube du hast in deinen Regeln einfach das Problem, dass die "allow-all" Regel vor der "deny-specific-services" Regel kommt und aus diesem Grund nicht mehr greift. Wenn du die "allow-all" abschaffst und einschränkst sollte die Sache sauberer laufen.

    Grüße

    Schroeder