Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 9329 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN client - only from "allowed" PCs ?

tomjedrz
We want to restrict the SSL VPN so that only PC's which are allowed can use the software.  Basically, we don't want the VPN users to be able to connect to the network from non-company issued computers.

Are there any ideas on how best to accomplish that?  Ideally, we would like to do it in a way that allows them to use the portal to get the software.

Thanks ...


This thread was automatically locked due to age.
Parents
  • 0
    Hmmm...

    This is a tough one. Currently, Astaro only limits VPN access per user or group. What you want is to be able to limit based upon MAC address, essentially. When you say, "we would like to do it in a way that allows them to use the portal to get the software," do you mean that you don't want to limit access to the portal from non-company issued machines, or you do? Even here, I have a difficult time coming up with suggestions, as you could only limit such traffic by narrowing down the networks allowed to access the portal. A company issued machine could be on an unknown public link (this would be the likely place for a VPN connection, after all), so we couldn't cut this down, unless you only want your employees to access the software from a known network. However, this wouldn't stop them from emailing or copying the VPN config data to another machine outside the portal.

    Even a packet filter restricting access to the SSL VPN port would be difficult to configure because again, we don't know from what network they could be attempting to gain access (legitimately or otherwise).

    Anyone else have any ideas, here?
  • 0 in reply to LewisRosenthal
    The overall goal is to prevent users (even if authorized to the VPN) from accessing the network on a non-company-owned computer. There are two reasons for this ... one is to make sure that only clean, patched, secure machines are connected inside the firewall .. the other is to reduce the likelihood that confidential data can get onto non-company computers in a non-traceable manner.

    My current (non-ideal) solution ... we are deploying now. 
    1- Authorize all remote-authorized users to the portal.
    2- A Help desk tech remotely controls their PC, downloads the client, installs it, and deletes the client.
    3- When the remote installs are done, disallow all non-IT users to the portal.
    4- When support is necessary, techs have to call in the senior types, because the help desk techs don't have admin access to the firewall.

    Hmmm...
    What you want is to be able to limit based upon MAC address, essentially. 


    I would like a solution where only computers that are members of the Windows domain can connect via VPN. In the alternative, I would like to be able to specifically authorize computers.  MAC address is one way of doing it.  Perhaps there is a way to use certificates?


    ... However, this wouldn't stop them from emailing or copying the VPN config data to another machine outside the portal.


    Any non-computer based restrictions allow this.  A reasonably tech-savvy person could find the open-source VPN client and use the config data from an already configured PC to connect.  Valid credentials would still be required, so this is a relatively small weakness, but a weakness nonetheless.
  • 0 in reply to tomjedrz
    While there are workarounds like yours to help with this (ASC IPSec VPN client may give you more control in this situation), you are really asking for both NAC/NAP and DLP functionality- neither of which are currently part of the Astaro suite.

    Not trying to downplay your concerns, but tightening up access controls internally on the network and turning up auditing/alerting may help you manage the situation (or deliver proof that additional resources are required).
Reply
  • 0 in reply to tomjedrz
    While there are workarounds like yours to help with this (ASC IPSec VPN client may give you more control in this situation), you are really asking for both NAC/NAP and DLP functionality- neither of which are currently part of the Astaro suite.

    Not trying to downplay your concerns, but tightening up access controls internally on the network and turning up auditing/alerting may help you manage the situation (or deliver proof that additional resources are required).
Children
  • 0 in reply to Jack Daniel
    While there are workarounds like yours to help with this (ASC IPSec VPN client may give you more control in this situation), you are really asking for both NAC/NAP and DLP functionality- neither of which are currently part of the Astaro suite.


    I am not familiar with the acronyms.  I don't necessarily want to over-complicate things.  Can we secure by computer in addition to by user?  At this point is sounds like the answer is no, so I need another approach to accomplish the goal.  My hope is that the answer is yes and someone can point me in the right direction.

    What is different about the IPsec client that might allow for more control?  They look very similar in configuration and management.


    Not trying to downplay your concerns, but tightening up access controls internally on the network and turning up auditing/alerting may help you manage the situation (or deliver proof that additional resources are required).


    The issue is not preventing access overall; it is preventing authorized users from doing unauthorized things. Specifically, connecting through the VPN from their home computer and copying documents.  Figuring out afterward that it has happened is useful, but not nearly as useful as preventing it.  

    Maybe the solution has nothing to do with the VPN. Perhaps I can figure out how to do it on the server side or inside the network for all computers.


    Thanks for the info.
  • 0 in reply to tomjedrz
    Ah, sorry for sliding into acronym soup.  Both types of technology have been around for a few years and are starting to mature.

    NAP/NAC are variations of Network Access/Admission Control/Protection.  These are systems designed to control what hosts are allowed to connect to a network.  These systems may be agent-based or agentless, they generally only allow approved host to access network resources and often quarantine dis-allowed hosts to "remediation sandboxes" where they can get updates and patches but not get access to the network- once approved and/or updated the hosts are let out of the sandbox.  Agentless systems monitor hosts' traffic and capture agent strings and other tell-tales from traffic to ID the hosts and versions/patch levels of applications in use.

    DLP is Data Loss Prevention/Protection.  It means different things to different vendors, but it is generally designed to monitor what leaves the network and prevent loss of sensitive data.  That covers your "preventing authorized users from doing unauthorized things" request, but generally not at a price most small/medium businesses can afford.
  • 0 in reply to Jack Daniel
    Would it be possible to install a RADIUS server on each company laptop and set the 'house' RADIUS server to relay to it for laptop users?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner