VPN Verbindungen nur von spezifizierten Geräten zulassen

24/09/2009 - 16:16 von Markus Schuhmacher | Report spam
Hallo NG :),

Ich beziehe mich auf meinen Englischen Forumeintrag
http://social.technet.microsoft.com...533364d658

Von dem Geschàftsführer des Kunden haben wir die Anforderung erhalten, die
zugelassenen VPN Verbindungen, die ausgewàhlte Mitarbeiter haben, auf gewisse
Geràte einzuschrànken. Als ich die Anforderung gehört habe, dachte ich mir,
dass das nicht möglich ist.

Denn folgende technische Situation:
Der Kunde hat
- 2 Domaincontroller, Windows 2003 Modus, Windows 2003 R2 Server
- 1 ISA 2006 Standard Server
- mehrere staatische IP Adressen

In dem Unternehmen arbeiten zusàtzlich externe Mitarbeiter, welche Ihre
eigenen Notebooks haben. Diese Notebooks sind Apple Mac Air (order so).
Jetzt sehe ich das Problem, dass diese Notebooks weder in der Domaine sind
(geht wahrscheinlich auch gar nicht) und das auch nicht sollen, da diese
nicht zur Firma gehören.
Wàre dieser Zustand nicht, würde ich das ganze via Zertifikaten lösen, die
von der internen Zertifizierungsstelle ausgestellt werden. Damit würde ich
dann eine L2TP IPSec Verbindung aufbauen.

Der Geschàftsführer ist auf die Idee gekommen als er seinen WLAN AP
konfiguriert hat. Dort kann er den Zugriff auf MAC Adressen einschrànken. Das
geht natürlich bei der VPN Verbindung nicht :) (oder?).

Also unabhàngig von meinen Ideen bràuchte ich Vorschlàge, wie man den Wunsch
des Geschàftsführers umsetzen kann, dass also nur ausgewàhlte COMPUTER sich
via VPN einwàhlen dürfen.
Die Sicherheitsbedenken ruhen übrigens daher, dass sich ja jeder einwàhlen
kann, der die Benutzerdaten hat.
 

Lesen sie die antworten

#1 Jens Baier
24/09/2009 - 16:24 | Warnen spam
Hi,

Geràte einzuschrànken. Als ich die Anforderung gehört habe, dachte ich mir,
dass das nicht möglich ist.



klar, VPN mit Zertifikaten oder Token!

Wàre dieser Zustand nicht, würde ich das ganze via Zertifikaten lösen, die
von der internen Zertifizierungsstelle ausgestellt werden. Damit würde ich
dann eine L2TP IPSec Verbindung aufbauen.



ACK

Der Geschàftsführer ist auf die Idee gekommen als er seinen WLAN AP
konfiguriert hat. Dort kann er den Zugriff auf MAC Adressen einschrànken. Das
geht natürlich bei der VPN Verbindung nicht :) (oder?).



Nein, geht nicht!

Also unabhàngig von meinen Ideen bràuchte ich Vorschlàge, wie man den Wunsch
des Geschàftsführers umsetzen kann, dass also nur ausgewàhlte COMPUTER sich
via VPN einwàhlen dürfen.
Die Sicherheitsbedenken ruhen übrigens daher, dass sich ja jeder einwàhlen
kann, der die Benutzerdaten hat.



man koennte noch mit den IAS/RRAS Policies steuern, welcher Client auf was
zugreifen darf, eine VPN Verbindung darf der Client aber erstmal aufbauen.

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de

Ähnliche fragen