Routing und Zugriff von mehreren Aussenstellen

[surfcontrol 10]

Hallo,

 

ich habe eine Aufgabe zugeteilt bekommen und keinen Plan, wie das genau zu realisieren wäre.

Aufgabenstellung:

Unsere Servicetechniker müssen - egal von wo auf der Welt - auf verschiedene Server connecten um dort rund um die Uhr das Verhalten von Pumpen und Kühlkreisläufen zu überprüfen.

Bisher wird das mit PCAnywhere 11.0 gemacht. Das geht ohne weiteres einwandfrei vom Büro aus.

Jetzt soll es so sein:

Der Techniker hat sein Notebook bei der Auslandsreise dabei.

Er muss regelmäßig mindestens 10 verschiedene Hosts aufrufen.

Wie?

Meine Idee:

1. Einen Server in der Firma installieren

2. Dort die Authentifizierung der Einwahl

3. Von hier aus muss er dann direkt weiter verbunden werden zu den Servern im In- und Ausland.

 

Aber wie kann ich das realisieren?

Daß es per VPN geht ist klar, deshalb auch ein VPN Client auf dem Notebook. Dann die Einwahl in den Firmenserver. Auch klar.

Wie geht es dann weiter? Was brauche ich? Was muss ich tun?

 

Wäre klasse wenn irgend jemand da draußen wäre, der das realisiert hat oder eine Ahnung davon wie das gehen könnte.

 

Gruß surfcontrol

[dippas 10]

Bisher wird das mit PCAnywhere 11.0 gemacht. Das geht ohne weiteres einwandfrei vom Büro aus.

 

....

 

Daß es per VPN geht ist klar, deshalb auch ein VPN Client auf dem Notebook. Dann die Einwahl in den Firmenserver. Auch klar.

Wie geht es dann weiter? Was brauche ich? Was muss ich tun?

 

wenn der VPN-Einwahlpunkt richtig konfiguriert ist? nichts weiter!

 

Wählst Du dich via VPN ein, dann ist es so als wärest Du im Büro. Wie gesagt, VPN-Einwahlpunkt muss richtig konfiguriert sein (IP-Bereiche, Routing).

 

grüße

 

dippas

[surfcontrol 10]

Hallo dippas,

danke für die Antwort.

Jetzt ist nur noch zu klären, wie das vom Internetcafe aus gehen könnte.

Da steht ja wohl kaum ein Anschluß separat für das Notebook zur Verfügung.

Kann das über SSl geschehen, Auth beim Server in der Firma?

Ist wegen der Sicherheit z.B. Keylogger.

Gibt es eine Möglichkeit das Passwort dafür nach einer erfolgten Einwahl automatisch zu ändern?

Oder hast Du da eine andere Idee?

 

Gruß surfcontrol

[s.k. 11]

Jetzt ist nur noch zu klären, wie das vom Internetcafe aus gehen könnte.

Da steht ja wohl kaum ein Anschluß separat für das Notebook zur Verfügung.

Kann das über SSl geschehen, Auth beim Server in der Firma?

Ist wegen der Sicherheit z.B. Keylogger.

Gibt es eine Möglichkeit das Passwort dafür nach einer erfolgten Einwahl automatisch zu ändern?

Am flexibelsten in Bezug auf die Möglichkeit des Zugriff wäre ein reines SSL-VPN.

Gegen die Gefahr des Mitloggens der Kennwörter hilft ein Einmalpasswortsystem. Hierfür kann eine Tokenlösung zum Einsatz kommen. Es gibt aber auch Lösungen, wo ein Einmalpasswort auf Anforderung hin an eine zuvor definierte email-Adresse oder per SMS an ein Handy geschickt wird. In dieser Hinsicht empfehlenswert wären bspw. die SSL-VPN-Appliances von Sonicwall. Die kleinste gibt es bereits unter 500 EUR.

Wenn Du soetwas allerdings wirklich im Internetcafe machst, kannst Du jede per VPN auf dem Monitor angezeigte Information und jede Eingabe als kompromitiert betrachten.

 

Gruß

Steffen

[dippas 10]

Hallo,

 

zum Thema "Internetcafe" kann ich Steffen nur zustimmen: Jeder schaut mit, mind. über die Schulter ;)

 

Ein auf das Passwort bezogener "sicherer" Zugriff kann gut über Token z.B. von RSA oder SecurID stattfinden.

 

Allerdings wird es im Internet ein ganz anderes Problem als die Sicherheit geben: Du hast dort kein PCAnywhere drauf.

 

@Steffen:

Nenn mal die Handy-Lösung. Klingt interessant.

 

grüße

 

dippas

[s.k. 11]

Allerdings wird es im Internet ein ganz anderes Problem als die Sicherheit geben: Du hast dort kein PCAnywhere drauf.

Sollte PCA terminalserverfähig sein, wäre dies ja kein Problem. Wählt man sich halt auf einen TS in der DMZ ein und von dort geht es mit PCA weiter.

Oder man stellt die Fernwartung im LAN/Corp.Network auf RDP oder VNC um.

 

@Steffen: Nenn mal die Handy-Lösung. Klingt interessant.

Kenne das nur insoweit, als es auf der Roadmap der in Kürze erscheinenden Zywall SSL10 steht (siehe hier auf Seite 51). Hatte bereits Gelegenheit das Produkt anzutesten: noch ist dieses Feature nicht drin - ich vermute, dass das auch noch etwas dauern wird.

 

In den SSL-Gateways von Sonicwall scheint diese Funktion hingegen schon implementiert zu sein (siehe Datenblatt). Die Sonicwall hatte ich allerdings noch nicht in den Händen - kann zur konkreten Implementierung deshalb nichts sagen. Ich vermute, dass das Gateway bzw. der Authentifizierungsserver das Kennwort immer per SMTP verschickt und man sich ggf. selbst um die Umsetzung in eine SMS kümmern muss. Dafür gibt es ja diverse Möglichkeiten - von der Nutzung entsprechender Providerdienste, über den lokalen Anschluss von Handys und das Ansteuern über Skripte oder spezieller Programme bis hin zu Lösungen, die passende Exchange-Connectoren bereitstellen.

 

Gruß

Steffen

[surfcontrol 10]

Am flexibelsten in Bezug auf die Möglichkeit des Zugriff wäre ein reines SSL-VPN.

Wenn Du soetwas allerdings wirklich im Internetcafe machst, kannst Du jede per VPN auf dem Monitor angezeigte Information und jede Eingabe als kompromitiert betrachten.

 

Gruß

Steffen

Hallo s.k.,

danke für die klare Aussage. Da muss noch viel gedankliche Arbeit investiert werden.

 

Hallo Dippas,

danke für die Antworten.

Da sieht man wieder einmal, wie wichtig dieses Board ist.

Vielen Dank.

Gruß surfcontrol