VPN Client-to-site

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
pawlik1
fresh
fresh
Posty: 3
Rejestracja: 21 paź 2019, 10:49

VPN Client-to-site

#1

#1 Post autor: pawlik1 » 21 paź 2019, 11:35

Witam,
Chciałbym zapytać o bezpieczeństwo w temacie VPN-a, a dokładnie o kwestie ze zdalnego dostępu typu Client-to-site.
Chodzi mianowicie o zabezpieczenie połączenia przed ustanowieniem tunelu VPN.
Załóżmy że pracownik ma dostęp do zasobów firmy przez vpn-a ale żeby połączyć się przez tego vpn-a musi mieć najpierw dostęp do Internetu i tu pojawia się problem w jaki sposób ograniczyć możliwość korzystania z Internetu przed zestawieniem tunelu, tak aby jedynym adresem z którym można się połączyć był adres firmowego routera VPN, a z kolei po zestawieniu tunelu obowiązywały polityki ustawione na routerze firmowym np. zezwalające na dostęp do Internetu ?
Myślałem nad konfiguracją FW windowsowego, ale jak dam tylko dostęp do adresu internetowego routera VPN to po zestawieniu tunelu Internet nie będzie dostępny, chyba że się mylę ?

martino76
CCIE
CCIE
Posty: 847
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: VPN Client-to-site

#2

#2 Post autor: martino76 » 21 paź 2019, 12:20

Zerknij na Pulse VPN ma taka opcje jakiej szukasz.

Pozdro,

Kyniu
wannabe
wannabe
Posty: 3510
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: VPN Client-to-site

#3

#3 Post autor: Kyniu » 21 paź 2019, 16:56

Słowo klucz do dalszych poszukiwań to "split horizon". Resztę sobie już znajdziesz.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

mihu
wannabe
wannabe
Posty: 760
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: VPN Client-to-site

#4

#4 Post autor: mihu » 21 paź 2019, 23:24

@kyniu - nie chodziło Ci przez przypadek o split-tunneling, a właściwie jego brak?

@pawlik1 - to zależy z jakiego vendora korzystasz i czy maszyna z której się łączy pracownik jest firmy (IPSec VPN) czy własna (SSLVPN przez przeglądarkę)

- na tej podstawie możesz zrobić TND (Trusted Network Detection na Cisco AnyConnect) , GlobalProtect (vel jak to się zwie po nowemu Prisma) na PaloAlto , PulseSecure jak mówi Marcin, a nawet Citrixa.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

pawlik1
fresh
fresh
Posty: 3
Rejestracja: 21 paź 2019, 10:49

Re: VPN Client-to-site

#5

#5 Post autor: pawlik1 » 23 paź 2019, 12:46

Dzięki za odzew,
Podane rozwiązania w Cisco AnyConnect czy PaloAlto niestety nie wchodzi w grę ponieważ mam do dyspozycji z góry narzucony FortiClient (połczenie po ssl-u) gdzie raczej takich opcji nie ma (przynajmniej ja nie znalazłem).

Pozdrawiam


martino76
CCIE
CCIE
Posty: 847
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: VPN Client-to-site

#7

#7 Post autor: martino76 » 24 paź 2019, 08:30

Raczej to nie jest to czego szuka pawlik1. Jemu chodzi o to by user nie mogl korzystac z internetu na laptopie jesli nie podlaczy sie do firmowego VPN. Jesli to zrobi to i tak nie bedzie mial split-tunnel bo traffic musi isc przez firmowe proxy czy co tam ma klient :)

Pozdro,

pawlik1
fresh
fresh
Posty: 3
Rejestracja: 21 paź 2019, 10:49

Re: VPN Client-to-site

#8

#8 Post autor: pawlik1 » 24 paź 2019, 09:28

Martino76 trafił w sedno :-)

double.decode
wannabe
wannabe
Posty: 310
Rejestracja: 15 kwie 2009, 18:31

Re: VPN Client-to-site

#9

#9 Post autor: double.decode » 24 paź 2019, 10:01

W takim razie przepraszam za zamieszanie :)

ODPOWIEDZ