[VPN] Zugriff NUR zum Firmennetzwerk erlauben

#0
24.08.2006, 15:28
...neu hier

Beiträge: 2
#1 Hallo,

ich habe folgendes Problem. Derzeit ist es den Mitarbeitern (MA) möglich, über einen Tunnel in das Firmennetzwerk zu gelangen. Das ist soweit in Ordnung. Es ist ihnen aber auch möglich, das andere Device zu nutzen, um damit im Internet zu surfen. So schleppen sie aber Viren etc. ein.

Wenn die MA im Unternehmen sind, sollen sie ganz normal wie die Desktop-PCs über ein RJ45-Kabel Zugriff auf das Firmennetzwerk erhalten.

Sind die MA unterwegs, soll per UMTS-Karte oder (privatem) DSL-Anschluss Zugriff auf das Firmennetzwerk möglich sein.

Und es soll NUR der Zugang zum Firmennetzwerk über die Netzwerkdevices möglich sein. Die Verbindung soll nur dafür da sein. Surfen können sie dann über den Proxy, der im Unternehmen steht.

Derzeit surfen einige MA nämlich "am Tunnel vorbei" (somit auch am Proxy und der Firewall) und schleppen so Viren bei der nächsten Einwahl ins Firmennetzwerk ein.

Hat jemand schon etwas derartiges umgesetzt? Welche Programme? IPCop?
Seitenanfang Seitenende
24.08.2006, 15:58
Member

Beiträge: 647
#2 In den Internetoptionen unter Laneinstellungen einen Proxy eintragen den es nicht gibt, somit laufen alle Anfragen ans Internet die nicht über VPN gehen ins leere. Geht natürlich nur wenn die Anwender nicht gleichzeitig auch Administratoren sind.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
24.08.2006, 16:34
...neu hier

Themenstarter

Beiträge: 2
#3

Zitat

heptamer666 postete
In den Internetoptionen unter Laneinstellungen einen Proxy eintragen den es nicht gibt, somit laufen alle Anfragen ans Internet die nicht über VPN gehen ins leere. Geht natürlich nur wenn die Anwender nicht gleichzeitig auch Administratoren sind.
Ist die Lösung wirklich so einfach? ;)

Benutzer sind Hauptbenutzer.

Nachtrag: Es geht nicht nur darum, dass sie nicht surfen sollen, sondern dass jegliche (Online-)Dienste nicht laufen sollen. Ich würde dann z. B. Lotus Notes, Software für Palm usw. zulassen (die werden ja intern wieder gebraucht) ... aber nicht einen Verbindungsaufbau ausser dem Tunnel.
Dieser Beitrag wurde am 24.08.2006 um 16:44 Uhr von Digel editiert.
Seitenanfang Seitenende
24.08.2006, 17:25
Member

Beiträge: 647
#4 Naja, ich würde die Anwender zu einfachen Benutzern machen und eine Richtlinie rausgeben welche besagt das weder Fremdsoftware, die nicht durch IT genehmigt wurde, installiert werden darf, noch, das Dienste, welche nicht genehmigt wurden, genutzt werden dürfen. So ist das zumindest bei uns geregelt, und das klappt ganz gut, da die Nutzer ja keine Chance haben eigene Software zu installieren die sie dann nutzen könn(t)en um unsere Sicherheitsvorkehrungen zu umgehen.
Und die Leute überlegen sich zweimal ihrem SPieltrieb nachzugeben und eine Abmahnung zu kassieren falls es rauskommt.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
24.08.2006, 18:43
Member
Avatar frosch03

Beiträge: 44
#5 Jupp, oder man arbeitet mit den VPN-Client von Cisco. Der hat nämlich die eigenschaft, dass
alle anderen Netzwerkdevices, ausser dem Tunnel, runtergefahren werden. Ergo gibt es nur noch den
Tunnel, was ja das sein sollte, was du wolltest.

grüße,
frosch03
Seitenanfang Seitenende
24.08.2006, 19:46
Member

Beiträge: 647
#6 Leider installiert der VPN Client von Cisco noch einige andere Dienste welche zum Beispiel Remoteunterstützung verhindern - Administration aus der Ferne ist somit unmöglich, gerade bei Reisenden eine Sache die sehr problematisch ist.
Hatten diese Software auch mal im Einsatz, das Tool ist an und für sich sehr gut, allerdings bei einem Netzwerk unserer Größe nicht mehr administrierbar, daher haben wirs nach einer Testphase wieder von den Testrechnern entfernt.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
24.08.2006, 20:43
Member

Beiträge: 93
Seitenanfang Seitenende
25.08.2006, 01:31
Member
Avatar frosch03

Beiträge: 44
#8 Also wir hatten den Cisco-Client in nem Netz mit ein paar hundert AussendienstMitarbeitern
produktiv am laufen. Nebenan saßen die Jungs vom HelpDesk und die haben sich natürlich auf die
Maschinen raufschalten können...
(Es sei denn so ein Vogel ist im Stau, wunder sich dass er keine Emails verschicken kann,
ruft beim Helpdesk an und sagen dir nicht, dass er irgendwo im Auto sitzt. Dann versuchtste dich
natürlich vergeblich remote auf die Maschine zu schalten ;))

Ich kann mich jetzt nicht an 'nen besonderen Voodoo erinnern, den wir sonst noch auf die Kisten
installiert haben, aber das ist jetzt auch schon ein paar Jahre her. Wer weiß was sich da alles getan hat.

grüße,
frosch03
Seitenanfang Seitenende