none
VPN Tunnel IPSec - Sicherheit RRS feed

  • Frage

  • Hallo

    Netzwerkstruktur:  LAN mit W2k Server, DNS, AD, DC. Ich habe einen Zyxel DSL Router der Reihe P-662. Auf diesen wurde eine permanente VPN IPSec Tunel mit dem entfernten Gateway eingerichtet. Frage: Wie oder Was sehen die anderen Teilnehmer vom anderen Netzwerk mein internes LAN-Netzwerk?

    LG

    Dienstag, 2. August 2011 14:56

Antworten

  • Am 02.08.2011 16:56, schrieb Harald2010:

    permanente VPN IPSec Tunel mit dem entfernten Gateway eingerichtet.
    Frage: Wie oder Was sehen die anderen Teilnehmer vom anderen Netzwerk
    mein internes LAN-Netzwerk?

    Sie sehen "alles", was auch deine internen Clients sehen, die in einem
    anderen IP Segment stehen, wenn der Tunnel nicht weiter eingeschränkt
    ist. Der Tunnel ist wie ein Kabel von rechts nach links.

    Die größte Frage ist: Was hat das mit GPO zu tun?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 2. August 2011 18:46
  • Am 06.08.2011 20:10, schrieb Harald2010:

    Bedrohung? man weis nie welche Teilnehmer mit welchen Aussichten dahinterstecken

    Nimm es mit bitte nicht überl, aber du hast Angst und bist mit der
    Aufgabenstellung total überfordert. Suche dir bitte jemanden, der dir
    durch Handauflegen eine Absolution erteilt und hinterher offiziell den
    Schwarzen Peter in der Hand hat, wenn etwas passiert.

    Du selber willst und kannst das nicht abschätzen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Harald2010 Dienstag, 9. August 2011 13:09
    Montag, 8. August 2011 07:56

Alle Antworten

  • Am 02.08.2011 16:56, schrieb Harald2010:

    permanente VPN IPSec Tunel mit dem entfernten Gateway eingerichtet.
    Frage: Wie oder Was sehen die anderen Teilnehmer vom anderen Netzwerk
    mein internes LAN-Netzwerk?

    Sie sehen "alles", was auch deine internen Clients sehen, die in einem
    anderen IP Segment stehen, wenn der Tunnel nicht weiter eingeschränkt
    ist. Der Tunnel ist wie ein Kabel von rechts nach links.

    Die größte Frage ist: Was hat das mit GPO zu tun?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 2. August 2011 18:46
  • >Die größte Frage ist: Was hat das mit GPO zu tun?

    Berechtigte Frage.
    Ehrlich gesagt wirft der ganze Threads noch etwas Fragen auf.

    > Wie oder Was sehen die anderen Teilnehmer vom anderen Netzwerk

    Du meinst die Clients, die Zugriff auf dieses Gateway haben? (das per VPN verbunden ist)

    Dienstag, 2. August 2011 20:05
    Beantworter
  • >Die größte Frage ist: Was hat das mit GPO zu tun?

    Berechtigte Frage.
    Ehrlich gesagt wirft der ganze Threads noch etwas Fragen auf.

    > Wie oder Was sehen die anderen Teilnehmer vom anderen Netzwerk

    Du meinst die Clients, die Zugriff auf dieses Gateway haben? (das per VPN verbunden ist)

    GPO, AD, DC hängt doch irgendwie alles zusammen oder?  Ich habe in meinem LAN (LAN A) für verschiedene Ordner für verschienene Personen Berechtigungen erteilt.

    Aber ich möchte gerne wissen wie die anderen Teilnehmer von der Gegenstelle (LAN B) in mein Netzwerk zugreifen können.

    Bitte entschuldigt mich wenn ich nicht so auf Trab bin wie Ihr, aber bin mit meinem VPN am Anfang.... :-)

    LG

    Mittwoch, 3. August 2011 12:01
  • Wie wenn sie im LAN wären - dafür ist VPN ja da, "Tunnel".
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 12:49
    Beantworter
  • Hallo,

    bist Du hier inzwischen weitergekommen?

    Gruss,
    Raul

    Freitag, 5. August 2011 08:04
  • Hallo,

    bist Du hier inzwischen weitergekommen?

    Nö... :-(    Es wäre mir nur wichtig zu wissen, wie/was der anderer client (Admin) vom anderen Netz (Gegenstelle) von meinem Netzwerk sieht bzw. wie er darauf zugreifen kann. Mein lokales Netz (Active Directory) habe ich gut mit Berechtigungen für interne User/clients geschützt.

    LG

     

    Freitag, 5. August 2011 13:00
  • Also wenn du einen VPN-Tunnel einrichtest ist erst mal die Frage: Wie arbeiten diese Geräte. Wenn ich ein VPN (IPSec) Tunnel zwischen zwei TMG-Servern aufbaue, gibt es ein Fierewall Regelwerk, mit dem ich festlege, welche Kommunikation durch den Tunnel erlaubt ist.

    Wenn dabei keine Einschränkungen getroffen wurden, ist ein VPN-Client (oder auch ein Client hinter dem VPN) vollständig mit dem Netz verbunden. Die IPSec Verbindung soll das Kable ersetzen, da die Standorte meist weiter entfernt voneinander sind ;)

    Also kurzfassung:

    Bei einem VPN ohne Firewall Regel kann er so ziemlich alles sehen ... (Ich lasse mal netze die zusätliche Routen benötigen außer Acht)


    Viele Grüße Carsten
    Freitag, 5. August 2011 13:32

  • Harald2010 meinte:

    Nö... :-(    Es wäre mir nur wichtig zu wissen, wie/was der anderer client (Admin) vom anderen Netz (Gegenstelle) von meinem Netzwerk sieht bzw. wie er darauf zugreifen kann.

    Das ist Dir doch jetzt schon mehrfach gesagt worden: Stell Dir einfach vor,
    da wäre kein VPN-Tunnel sondern die Netze wären im gleichen Gebäude per
    Kabel verbunden. Das ist exakt dasselbe. Auf dem Gateway zwischen den Netzen
    kann noch festgelegt werden, wie sie aufeinander zugreifen können (kommt
    auf's Gateway an, wie und in welchem Umfang), aber das ist unabhängig davon,
    ob die Verbindung nun per VPN oder direkt erfolgt.

    Christoph Sternberg */\

    Freitag, 5. August 2011 17:16
  • ...und dann könntest Du ja auch noch ganz trivial einfach "nachschauen" - der Tunnel wurde ja nach Deiner Einleitung tatsächlich eingerichtet. Also häng Deinen Laptop in das entfernte LAN und schau, was Du sehen/machen kannst ;-)

    mfg Martin


    A bissle "Experience", a bissle GMV...
    Freitag, 5. August 2011 18:21
    Beantworter
  • Hallo an alle

    also kurzum:  da ich auf allen clients im lokalen LAN Passwörter und Berechtigungen vergeben habe, dürfte das Übernehmen eines PC's vom anderen LAN b aus nicht so einfach sein (vorausgesetzt diese Teilenehmer besitzen die PW..).  Lieg ich mit meiner Überlegung dann richtig?

    LG

    Samstag, 6. August 2011 15:21
  • Was willst Du denn "übernehmen"??? Der VPN-Tunnel sorgt dafür, daß die PCs am entfernten Standort sich "quasi" im gleichen Netz befinden. Und alle Probleme, die Du im gleichen Netz hättest (oder auch nicht), die hast Du dann auch am entfernten Standort... Was ist daran so schwierig?

    Und wieso "auf allen clients Passörter und Berechtigungen"? Du hast doch eine Domäne, das steuert man zentral!

    mfg Martin


    A bissle "Experience", a bissle GMV...
    Samstag, 6. August 2011 16:04
    Beantworter
  • Also ein Passwort (wofür denn überhaupt) muss nicht unbedingt ein Schutz sein. Gibt es denn eine konkrete Berdohung durch die Teilnehmer hinter dem VPN-Tunnel ? (dann schalte ihn ab) .... man könnte hier ewig diskutieren ...

    Die Kernfrage ist: Hast du dir beim Aufbau des Netzes Gedanken über das Thema Sicherheit gemacht ? Microsoft bietet da von Haus aus sehr viele Möglichkeiten. Die Domäne erlaubt dir schon sehr viel. Eine dieser Möglichkeiten ist der Einsatz von Gruppenrichtlinien (wollte nur mal den Bezug zum Forum herstellen ;))

    Was würde passieren, wenn ich mein Notbook an einem eurer Netzwerkports anschließe ? Komme ich dann an eure wichtigen Daten ? Wenn nicht, wird das durch den VPN-Tunnel auch nicht so einfach sein. Eine 100% Sicherheit wirst du nie erreichen. Aber wenn man die Möglichkeiten von Microsoft nutz, wird es für potentielle Angreifer schon sehr schwer.

    Ich würde empfehlen, mal ein Netzwerkweites Sicherheitskonzept zu entwickeln ...


    Viele Grüße Carsten
    Samstag, 6. August 2011 16:17
  • Also ein Passwort (wofür denn überhaupt) muss nicht unbedingt ein Schutz sein. Gibt es denn eine konkrete Berdohung durch die Teilnehmer hinter dem VPN-Tunnel ? (dann schalte ihn ab) .... man könnte hier ewig diskutieren ...

    Was würde passieren, wenn ich mein Notbook an einem eurer Netzwerkports anschließe ? Komme ich dann an eure wichtigen Daten ? Wenn nicht, wird das durch den VPN-Tunnel auch nicht so einfach sein. Eine 100% Sicherheit wirst du nie erreichen. Aber wenn man die Möglichkeiten von Microsoft nutz, wird es für potentielle Angreifer schon sehr schwer.

    in meiner AD Domäne hat jeder client ein Passwort ;-)

    Bedrohung? man weis nie welche Teilnehmer mit welchen Aussichten dahinterstecken... Abschalten kann ich nicht, ich muss ja auf das andere LAN zugreifen

    Wenn du mit deinem Notbook andockst, ich denke mal, wirst du nicht an den clients rankommen, die sind in einer Domäne und haben alle PW

    LG

     

    Samstag, 6. August 2011 18:10
  • Ja wenn das so ist (will das jetzt nicht vertiefen), brauchst du dir um die VPN-Verbindung keine Sorgen machen ...

    Ich hoffe das beantwortet jetzt die Frage ;)


    Viele Grüße Carsten
    Samstag, 6. August 2011 19:02
  • Am 06.08.2011 schrieb Harald2010:
    Hi,

    in meiner AD Domäne hat jeder client ein Passwort ;-)

    Na und? Was hat das jetzt mit deinem VPN Tunnel zu tun?

    Bedrohung? man weis nie welche Teilnehmer mit welchen Aussichten dahinterstecken... Abschalten kann ich nicht, ich muss ja auf das andere LAN zugreifen

    Na dann schränke den Tunnel ein auf die Protokolle die maximal benötigt
    werden und den Rest blockst du.

    Wenn du mit deinem Notbook andockst, ich denke mal, wirst du nicht an den clients rankommen, die sind in einer Domäne und haben alle PW

    Pfft. Na klar. Glaub ruhig weiter an sowas. ;) Was hat denn die Domäne mit
    dem "Zugriff" auf Clients/Daten zu tun? Kann ich mit meinem Homenotebook
    deine PCs pingen oder per UNC oder oder ... erreichen? Dann sind auch
    ZUgriffe (Erlaubte und Unerlaubte) möglich.

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Sonntag, 7. August 2011 13:24
    Moderator
  • > Wenn du mit deinem Notbook andockst, ich denke mal, wirst du nicht an
    > den clients rankommen, die sind in einer Domäne und haben alle PW
     
    ...und die Erde ist eine Scheibe und es gab noch nie Sicherheitslücken
    im SMB-Treiber oder im Redirector... Hoffentlich hast wenigstens die
    Firewall aktiv.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Montag, 8. August 2011 07:17
    Beantworter
  • Am 06.08.2011 20:10, schrieb Harald2010:

    Bedrohung? man weis nie welche Teilnehmer mit welchen Aussichten dahinterstecken

    Nimm es mit bitte nicht überl, aber du hast Angst und bist mit der
    Aufgabenstellung total überfordert. Suche dir bitte jemanden, der dir
    durch Handauflegen eine Absolution erteilt und hinterher offiziell den
    Schwarzen Peter in der Hand hat, wenn etwas passiert.

    Du selber willst und kannst das nicht abschätzen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Harald2010 Dienstag, 9. August 2011 13:09
    Montag, 8. August 2011 07:56