Jump to content

Malware über VPN?


Recommended Posts

Guten Morgen,

 

ich habe hier eine Verständnisfrage.

Wenn ein Computer außerhalb des Firmennetzwerks über das klassische VPN mit einem Firmennetzwerk verbunden ist, ist es doch so, als ob dieser Computer sich in der Firma physisch befindet und mit einem Netzwerkkabel verbunden wäre. Korrekt?

Und falls dieser (Home-Office)-Computer außerhalb der Firma sich ein Malware eingefangen haben sollte, so kann dieser Rechner, die anderen Computer im Firmennetzwerk verseuchen. Richtig?

Deswegen ist es doch aus meiner Sicht vernünftig, dass man den Computer, der sich außerhalb vom Firmennetzwerk befinden soll, ein firmenkonformes Windows installiert, wo bestimmte Sachen u.a. weggescrippted werden, ein Virenscanner von der Firma mit deren Richtlinien bestimmt sind usw. aufstellt und es soweit wie möglich absichert.

 

Wenn das so ist, dann wäre das doch -sehr mild ausgedrückt- total Banane, wenn man ein privat PC, statt ein firmenkonformen PC in das VPN-Netzwerk einbinden würde. Man weiß doch gar nicht, wie möglicherweise dieser privat PC schon verseucht sein könnte. Zumal würde das aus meiner Sicht hier nicht funktionieren, weil dieser PC sich auch nicht in unser AD-Domäne befinden würde. Das sind jetzt bestimmt schräge Fragen, die ich hier stelle, vielleicht weil seit langer Zeit zuviel gearbeitet habe und ich urlaubsreif bin :-)

 

 

Link to post
vor 20 Minuten schrieb NorbertFe:

Wenn das Konzept kein bring your own device hergibt, sollte man auch keine Geräte ins Netz lassen, auf die man keinen Einfluss hat.

Ja, genau. Das sehe ich auch so.

Das bedeutet also, dass ein Fremdrechner -egal ob privat oder fremdfirmen PC / Gerät - ein Sicherheitsrisiko darstellen kann, wenn es über VPN sich in das Firmennetzwerk verbindet und somit Schadcode in das eigene Netzwerk übertragen werden kann. Richtig?

 

Und wie sieht es aus mit Citrix?

So wie ich das verstanden habe, wird das Programm gestartet und nur die Bilder werden auf den Rechner übertragen.

Wäre diese Art sicherer als das klassische VPN?

Edited by Janguru
Link to post

Hi,

 

mit "Citrix" führen viele Wege nach Rom ins Büro. Das kann von "stumpf" im Internet veröffentlichtem Storefront Server über "klassisches VPN" bis hin zum Netscaler Gateway mit Endpoint Analyse & Co. oder 3rd Party Application Delivery Controller nahezu alles sein. Wer mag kann hier auch gerne noch Citrix SD-WAN unterbringen. Beim Einsatz vom Citrix ADC (Netscaler) bleibt ja auch noch "ein wenig" Spielraum wie bspw. clientless VPN, ICA Proxy, Remote Desktop Proxy und/oder Full VPN.

 

"Microsoft" kann das - was du hier vermutlich meinst - allerdings auch mit dem RD Web Access / RD Gateway und der Web Application Firewall (Web Application Proxy?) bzw. dem Azure Application Gateway oder eben auch mit 3rd Party "ADCs".

 

vor 15 Minuten schrieb Janguru:

So wie ich das verstanden habe, wir das Programm gestartet und nur die Bilder werden auf den Rechner übertragen.

Das muss aber erstmal so konfiguriert werden. "HDX" (und auch RDP) kann wesentlich mehr wie "Bilder übertragen". Das kannst du aber auch bei RDP (mit oder ohne VPN) erreichen.

 

Gruß

Jan

  • Like 2
Link to post
vor 24 Minuten schrieb Janguru:

... wie ich das verstanden habe, wird das Programm gestartet und nur die Bilder werden auf den Rechner übertragen.

Wäre diese Art sicherer als das klassische VPN

Bei uns gibt es zwei Varianten - die komplette Hardware gehört der Firma, inkl Router (ggf. LTE) oder wir machen einen Windows 10 Enterprise USB Stick, mit dem gearbeitet wird.

Von den 70 Stück habe ich aber nur zwei auf USB-Stick, weil das Leute sind denen wir das zutrauen

:-)

Link to post
vor 33 Minuten schrieb testperson:

Hi,

 

mit "Citrix" führen viele Wege nach Rom ins Büro. Das kann von "stumpf" im Internet veröffentlichtem Storefront Server über "klassisches VPN" bis hin zum Netscaler Gateway mit Endpoint Analyse & Co. oder 3rd Party Application Delivery Controller nahezu alles sein. Wer mag kann hier auch gerne noch Citrix SD-WAN unterbringen. Beim Einsatz vom Citrix ADC (Netscaler) bleibt ja auch noch "ein wenig" Spielraum wie bspw. clientless VPN, ICA Proxy, Remote Desktop Proxy und/oder Full VPN.

 

"Microsoft" kann das - was du hier vermutlich meinst - allerdings auch mit dem RD Web Access / RD Gateway und der Web Application Firewall (Web Application Proxy?) bzw. dem Azure Application Gateway oder eben auch mit 3rd Party "ADCs".

 

Das muss aber erstmal so konfiguriert werden. "HDX" (und auch RDP) kann wesentlich mehr wie "Bilder übertragen". Das kannst du aber auch bei RDP (mit oder ohne VPN) erreichen.

 

Gruß

Jan

Verschreck ihn doch nicht gleich wieder. :p

Link to post

Auch wenn mir Betriebsfremde Geräte immer ein Gräuel sind. 100% vermeiden ist gar nicht so einfach.

Wenn es um wenige Clients geht ist evlt. auch Teamviewer ein Option. Weils halt einfach super Simpel ist und die Video-Komprimierung/Dekomprimierung vermutlich mit die schnellste oder die schnellste dieser Lösungen am Markt ist.

Für Fix-Fix Verbindungen ist TV nur leider unglaublich teuer weil One-To-Many lizenziert wird. Also ein Supporter für mehree Kunden/Clients. Eigentlich wird Aber nur eine One-To-One gebraucht. Also Verbindung zur eigenen Kiste im Geschäft. Mittlerweile gibts glaub sogar eine entsprechende Lizenz die günstiger ist für solche Anwendungen.

Teradici kann sowas auch mit Ihren Software-PCoIP Clients. Ist dann auch relativ günstig.

 

Ansonsten eben VPN

Link to post

Prinzipell lässt sich zwischen VPN und einer Remote-Desktop Lösung unterscheiden.

In einem VPN hängt der Client mehr oder weniger im internen Netz. D.h. eine Malware kann per Netzwerk Angriffen sich weiter bewegen.

Bei allen Remote-Desktop Lösungen (Citrix, MS RDP, VMWare, Teamviewer,...) gibt es nur ein Protokoll / Port, welcher eine Verbindung ins interne Netz hat. Hier muss die Malware eine Schwachstelle in diesem Protokoll finden und ausnutzen um weiter zu kommen.

Link to post
Am 4.12.2020 um 06:28 schrieb Janguru:

Wenn ein Computer außerhalb des Firmennetzwerks über das klassische VPN mit einem Firmennetzwerk verbunden ist, ist es doch so, als ob dieser Computer sich in der Firma physisch befindet und mit einem Netzwerkkabel verbunden wäre. Korrekt?

Hier sollte man nochmal 2 unterschiedliche Ansätze differenzieren.

Layer 2 VPN:
Hier wird der VPN Client direkt in das LAN getunnelt und verhält sich so wie du oben beschrieben hast.

Layer 3 VPN (eigentlich der Standard):
Hier besteht für die VPN Clients ein eigenes IP Netz, womit sie sich verbinden.
Über eine Firewall kann dann genau festgelegt werden welche Kriterien erfüllt sein müssen damit ich von A nach B komme.
So kann ich dann deutlich restriktivere Regeln für den Fernzugriff festlegen.

vor 15 Stunden schrieb djmaker:

Palo Alto bietet z. Bsp. die Möglichkeit das der Zugriff nur mit aktuellem Virenscanner Zugriff gewährt.

Sowas bietet die Sophos XG mit Synchronized Security auch an.

 


Das jetzt mal nur so ganz allgemein.
In diesem Zusammenhang kann man natürlich noch deutlich weiter gehen und ggf. auch über einen Network Policy Server die Authentifizierung des Clients abwickeln.
Dort kann dann noch weiter definiert werden ob z.B. nur AD Computer sich verbinden dürfen, usw.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...