SSL VPN client - only from "allowed" PCs ?

Hmmm...

This is a tough one. Currently, Astaro only limits VPN access per user or group. What you want is to be able to limit based upon MAC address, essentially. When you say, "we would like to do it in a way that allows them to use the portal to get the software," do you mean that you don't want to limit access to the portal from non-company issued machines, or you do? Even here, I have a difficult time coming up with suggestions, as you could only limit such traffic by narrowing down the networks allowed to access the portal. A company issued machine could be on an unknown public link (this would be the likely place for a VPN connection, after all), so we couldn't cut this down, unless you only want your employees to access the software from a known network. However, this wouldn't stop them from emailing or copying the VPN config data to another machine outside the portal.

Even a packet filter restricting access to the SSL VPN port would be difficult to configure because again, we don't know from what network they could be attempting to gain access (legitimately or otherwise).

Anyone else have any ideas, here?

The overall goal is to prevent users (even if authorized to the VPN) from accessing the network on a non-company-owned computer. There are two reasons for this ... one is to make sure that only clean, patched, secure machines are connected inside the firewall .. the other is to reduce the likelihood that confidential data can get onto non-company computers in a non-traceable manner.

My current (non-ideal) solution ... we are deploying now. 
1- Authorize all remote-authorized users to the portal.
2- A Help desk tech remotely controls their PC, downloads the client, installs it, and deletes the client.
3- When the remote installs are done, disallow all non-IT users to the portal.
4- When support is necessary, techs have to call in the senior types, because the help desk techs don't have admin access to the firewall.

Hmmm...
What you want is to be able to limit based upon MAC address, essentially. 

I would like a solution where only computers that are members of the Windows domain can connect via VPN. In the alternative, I would like to be able to specifically authorize computers.  MAC address is one way of doing it.  Perhaps there is a way to use certificates?

... However, this wouldn't stop them from emailing or copying the VPN config data to another machine outside the portal.

Any non-computer based restrictions allow this.  A reasonably tech-savvy person could find the open-source VPN client and use the config data from an already configured PC to connect.  Valid credentials would still be required, so this is a relatively small weakness, but a weakness nonetheless.

While there are workarounds like yours to help with this (ASC IPSec VPN client may give you more control in this situation), you are really asking for both NAC/NAP and DLP functionality- neither of which are currently part of the Astaro suite.

Not trying to downplay your concerns, but tightening up access controls internally on the network and turning up auditing/alerting may help you manage the situation (or deliver proof that additional resources are required).

While there are workarounds like yours to help with this (ASC IPSec VPN client may give you more control in this situation), you are really asking for both NAC/NAP and DLP functionality- neither of which are currently part of the Astaro suite.

I am not familiar with the acronyms.  I don't necessarily want to over-complicate things.  Can we secure by computer in addition to by user?  At this point is sounds like the answer is no, so I need another approach to accomplish the goal.  My hope is that the answer is yes and someone can point me in the right direction.

What is different about the IPsec client that might allow for more control?  They look very similar in configuration and management.

Not trying to downplay your concerns, but tightening up access controls internally on the network and turning up auditing/alerting may help you manage the situation (or deliver proof that additional resources are required).

The issue is not preventing access overall; it is preventing authorized users from doing unauthorized things. Specifically, connecting through the VPN from their home computer and copying documents.  Figuring out afterward that it has happened is useful, but not nearly as useful as preventing it.  

Maybe the solution has nothing to do with the VPN. Perhaps I can figure out how to do it on the server side or inside the network for all computers.


Thanks for the info.

Ah, sorry for sliding into acronym soup.  Both types of technology have been around for a few years and are starting to mature.

NAP/NAC are variations of Network Access/Admission Control/Protection.  These are systems designed to control what hosts are allowed to connect to a network.  These systems may be agent-based or agentless, they generally only allow approved host to access network resources and often quarantine dis-allowed hosts to "remediation sandboxes" where they can get updates and patches but not get access to the network- once approved and/or updated the hosts are let out of the sandbox.  Agentless systems monitor hosts' traffic and capture agent strings and other tell-tales from traffic to ID the hosts and versions/patch levels of applications in use.

DLP is Data Loss Prevention/Protection.  It means different things to different vendors, but it is generally designed to monitor what leaves the network and prevent loss of sensitive data.  That covers your "preventing authorized users from doing unauthorized things" request, but generally not at a price most small/medium businesses can afford.

Would it be possible to install a RADIUS server on each company laptop and set the 'house' RADIUS server to relay to it for laptop users?

Would it be possible to install a RADIUS server on each company laptop and set the 'house' RADIUS server to relay to it for laptop users?