VPN Client-to-site
VPN Client-to-site
Witam,
Chciałbym zapytać o bezpieczeństwo w temacie VPN-a, a dokładnie o kwestie ze zdalnego dostępu typu Client-to-site.
Chodzi mianowicie o zabezpieczenie połączenia przed ustanowieniem tunelu VPN.
Załóżmy że pracownik ma dostęp do zasobów firmy przez vpn-a ale żeby połączyć się przez tego vpn-a musi mieć najpierw dostęp do Internetu i tu pojawia się problem w jaki sposób ograniczyć możliwość korzystania z Internetu przed zestawieniem tunelu, tak aby jedynym adresem z którym można się połączyć był adres firmowego routera VPN, a z kolei po zestawieniu tunelu obowiązywały polityki ustawione na routerze firmowym np. zezwalające na dostęp do Internetu ?
Myślałem nad konfiguracją FW windowsowego, ale jak dam tylko dostęp do adresu internetowego routera VPN to po zestawieniu tunelu Internet nie będzie dostępny, chyba że się mylę ?
Chciałbym zapytać o bezpieczeństwo w temacie VPN-a, a dokładnie o kwestie ze zdalnego dostępu typu Client-to-site.
Chodzi mianowicie o zabezpieczenie połączenia przed ustanowieniem tunelu VPN.
Załóżmy że pracownik ma dostęp do zasobów firmy przez vpn-a ale żeby połączyć się przez tego vpn-a musi mieć najpierw dostęp do Internetu i tu pojawia się problem w jaki sposób ograniczyć możliwość korzystania z Internetu przed zestawieniem tunelu, tak aby jedynym adresem z którym można się połączyć był adres firmowego routera VPN, a z kolei po zestawieniu tunelu obowiązywały polityki ustawione na routerze firmowym np. zezwalające na dostęp do Internetu ?
Myślałem nad konfiguracją FW windowsowego, ale jak dam tylko dostęp do adresu internetowego routera VPN to po zestawieniu tunelu Internet nie będzie dostępny, chyba że się mylę ?
Re: VPN Client-to-site
Zerknij na Pulse VPN ma taka opcje jakiej szukasz.
Pozdro,
Pozdro,
Re: VPN Client-to-site
Słowo klucz do dalszych poszukiwań to "split horizon". Resztę sobie już znajdziesz.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: VPN Client-to-site
@kyniu - nie chodziło Ci przez przypadek o split-tunneling, a właściwie jego brak?
@pawlik1 - to zależy z jakiego vendora korzystasz i czy maszyna z której się łączy pracownik jest firmy (IPSec VPN) czy własna (SSLVPN przez przeglądarkę)
- na tej podstawie możesz zrobić TND (Trusted Network Detection na Cisco AnyConnect) , GlobalProtect (vel jak to się zwie po nowemu Prisma) na PaloAlto , PulseSecure jak mówi Marcin, a nawet Citrixa.
@pawlik1 - to zależy z jakiego vendora korzystasz i czy maszyna z której się łączy pracownik jest firmy (IPSec VPN) czy własna (SSLVPN przez przeglądarkę)
- na tej podstawie możesz zrobić TND (Trusted Network Detection na Cisco AnyConnect) , GlobalProtect (vel jak to się zwie po nowemu Prisma) na PaloAlto , PulseSecure jak mówi Marcin, a nawet Citrixa.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: VPN Client-to-site
Dzięki za odzew,
Podane rozwiązania w Cisco AnyConnect czy PaloAlto niestety nie wchodzi w grę ponieważ mam do dyspozycji z góry narzucony FortiClient (połczenie po ssl-u) gdzie raczej takich opcji nie ma (przynajmniej ja nie znalazłem).
Pozdrawiam
Podane rozwiązania w Cisco AnyConnect czy PaloAlto niestety nie wchodzi w grę ponieważ mam do dyspozycji z góry narzucony FortiClient (połczenie po ssl-u) gdzie raczej takich opcji nie ma (przynajmniej ja nie znalazłem).
Pozdrawiam
-
- wannabe
- Posty: 321
- Rejestracja: 15 kwie 2009, 18:31
Re: VPN Client-to-site
Raczej to nie jest to czego szuka pawlik1. Jemu chodzi o to by user nie mogl korzystac z internetu na laptopie jesli nie podlaczy sie do firmowego VPN. Jesli to zrobi to i tak nie bedzie mial split-tunnel bo traffic musi isc przez firmowe proxy czy co tam ma klient
Pozdro,
Re: VPN Client-to-site
Martino76 trafił w sedno
-
- wannabe
- Posty: 321
- Rejestracja: 15 kwie 2009, 18:31
Re: VPN Client-to-site
W takim razie przepraszam za zamieszanie