[VPN] Alleen verkeer via VPN toestaan/VPN afdwingen

Ik zit met de volgende uitdaging:
Ik heb een aantal notebooks (v.v. Windows XP) die alleen maar verbinding met/via een VPN mogen maken. Meestal zullen de machines met een UMTS/HSDPA kaart gebruikt worden, maar de LAN of WLAN aansluiting moet ook gebruikt kunnen worden om contact te maken met de VPN server. Maar dan ook alleen daarmee, niet met Internet of voor gebuik van een LAN oid.

Ik heb al even met PCTools firewall getest, als ik daar alleen IPSec verkeer toesta dan werkt dat (het verkeer dat door de tunnel gaat wordt dus niet geblocked), deze is echter niet eenvoudig te centraal te beheren (via group policies oid).

Een klein beetje achtergrond: de machines zijn/worden via RIS gedeployed, werken in een Windows 2003 omgeving en worden via group policies beheerd en voorzien van software. De VPN oplossing betreft een Cisco ASA appliance, waarbij de notebooks bij voorkeur via de Cisco VPN client, maar eventueel via de SSL VPN client connecten.

Wie heeft suggesties, bijvoorbeeld een goeie 'endpoint security' tool die het gebruik van Ipsec verplicht of een host based firewall oplossing die centraal te beheren is en die in staat is om alleen VPN verbindingen toe te staan (IP protocol 50 en UDP poort 500)

TrailBlazer schreef op maandag 07 mei 2007 @ 11:30:
Er zijn een aantal firewall clients waar de Cisco VPN client mee kan samenwerken. Deze zullen dan ook wel in staat te zijn al het verkeer te blokkeren wat je niet wil. Let er trouwens wel op dat je DHCP wel toe staat in de firewall rules. Op mijn werk werd er een policy gepushed waarin DHCP gedenied werd. Lease was slechts een half uur dus ieder half uur je VPN opnieuw opbouwen

Het gaat dus om verkeer buiten de tunnel om dat geblocked moet worden (dat voor de duidelijkheid), maar ik zal inderdaad eens een paar 'enterprise' grade client firewalls onder de loupe nemen. Thanks voor de snelle response van jou en rolfie.

Ter info: het is kennelijk redelijk afhankelijk waar de firewall in de protocol stack kijkt of een firewall gaat werken. Ik heb vorige week met PCTools firewall gespeeld, die wou wel alle verkeer door mijn IPSec tunnel doorlaten (met als enige rule dus Ipsec naar mijn VPN server toestaan). Ik heb net Sophos geprobeerd, die blockt vervolgens dus ook het verkeer in de tunnel.

Beiden hebben een beetje gelijk, maar ik zoek dus die oplossing de centraal beheersbaar is en waar ik desnoods alle verkeer specifiek van/naar de Cisco VPN adapter (wordt als extra interface geinstalleerd in Windows) toe staat en op alle andere interfaces alleen de elementaire zaken als DHCP/ARP etc.

..the search continues.. Die oplossing van NCP ga ik zeker bekijken.

Equator schreef op maandag 07 mei 2007 @ 13:58:
Ik heb hele goede ervaringen met de Managed VPN client van NCP

Kan zich gedragen ale een Cisco client, heeft een ingebouwde firewall en is managable Ook de firewall is managable overigens.

Dank voor deze tip, dit werkt.

Ik heb de trial (niet enterprise) versie even geprobeerd en ondanks een klein bugje (de client identificeert zich altijd met het IP adres, ookal staat het anders geconfigureerd), werkt het perfect. Alle verkeer wordt netjes geblocked conform de firewall instellingen, tenzij een vertrouwd netwerk herkend wordt of een VPN tunnel opgebouwd is. Ik zag zelfs nog opties om automatisch UMTS verbindingen (PPTP) op te bouwen enz enz.

Nu eens kijken hoe dat met kosten zit en de enterprise versie..

Bij een klant had ik op verzoek de boel zo dicht gezet, dan ze alleen maar een tunnel op mochten zetten naar de zaak, en meer niet. (en ja, je moet DHCP inderdaad toestaan dan..)
De 2e dag kwam de eerste klant al met de melding dat zijn dochter niet meer op MSN kon met de laptop thuis..
M.a.w: Zorg voor een stevig draagvlak bij het MT, anders ga je geheid problemen krijgen..

In dit geval zit dat goed, maar je hebt helemaal gelijk. Draagvlak is onontbeerlijk in dit soort situaties.