Gateway op extern netwerk

Een firewall implementeren en daarbij de VPN poorten van binnen naar buiten dicht gooien.
Nog beter is om alle poorten van binnen naar buiten te blokkeren, behalve diegene die echt noodzakelijk zijn.

Mail rondsturen en dreigen op maatregelen als dit ontdekt wordt. Als het een regel is dat ze niet mogen internetten is het dus verboden om te omzeilen.

Kixtart schreef op donderdag 08 november 2007 @ 13:21:
Mail rondsturen en dreigen op maatregelen als dit ontdekt wordt. Als het een regel is dat ze niet mogen internetten is het dus verboden om te omzeilen.

Dat is toch geen oplossing... heb je het wetboek van strafrecht wel eens gelezen? ik zie nog steeds mensen van alles doen wat niet mag...

Dus hoe dwing je deze optie af? is er geen policy optie voor?

mangahuisman schreef op donderdag 08 november 2007 @ 13:24:
[...]


Dat is toch geen oplossing... heb je het wetboek van strafrecht wel eens gelezen? ik zie nog steeds mensen van alles doen wat niet mag...

Dus hoe dwing je deze optie af? is er geen policy optie voor?

Het zal best dat er nog genoeg mensen zijn die vanalles doen wat niet mag, maar met een email over de regels omtrent internetgebruik zal al aardig wat mensen afschrikken.

De instellingen kan je onder Computer Configuration [OF] User Configuration\Software\Internet Explorer vinden, dit binnen je GPO (Group Policy Object). Dit soort dingen ga je toch niet via een "script" naar de users pushen?

Sowieso ga ik er van uit dat deze vraag (blokkeren internet) van management/directie afkomstig is. Laat ze dan ook het besluit nemen dat "als mensen het omzeilen" er zware straffen op staan. Als directie deze maatregel heeft doorgevoerd als bedrijfs policy, dan kan je als systeembeheerder een e-mail naar alle medewerkers verzenden, waarin het vermeld staat. Zie je dan een medewerker op interent, dan geef je dit door aan directie, en je laat hun kiezen wat er gedaan word.

Wetboek? Hier heb je niets aan, als er een policy door management team/directie gemaakt hebt, kan je er veel meer mee doen.

Zanniebal schreef op donderdag 08 november 2007 @ 13:18:
[...]

Ja, is een optie, maar er de werknemers moeten wel een vpn kunnen opzetten naar klanten toe om te werken met boekhoud programma's, het is een accountants bureau

Je zou alleen de IP's van de klanten in je firewall kunnen zetten, zodat toegang tot andere IP's geblokkeerd wordt.

DeepFreeze.NL schreef op donderdag 08 november 2007 @ 14:43:
[...]


Je zou alleen de IP's van de klanten in je firewall kunnen zetten, zodat toegang tot andere IP's geblokkeerd wordt.

Ze internetten via de klanten, dus op deze manier kunnen ze het nog steeds

@Zanniebal
Ik zit ook in een soortgelijke situatie, heb je hier al een oplossing voor gevonden?!

Kixtart schreef op donderdag 08 november 2007 @ 14:46:
[...]

Ze internetten via de klanten, dus op deze manier kunnen ze het nog steeds

Stom van me , ik had het allemaal even vlug gelezen.
Ik denk dat hier op technisch gebied niet echt een oplossing voorhanden is.
Je zou het denk ik toch meer moeten zoeken in de richting van de bedrijfspolicy zoals KingOfDos het omschreven heeft.

Misschien is het ook belangrijk voor de klanten dat er iets aan gedaan wordt. Het is bijvoorbeeld niet wenselijk dat werknemers gaan streamen via het klantnetwerk. Misschien dat zij wat kunnen aanpassen, zodat VPN'ers niet kunnen internetten.

Draait er een personal firewall op die computers. Dan kan je denk ik wel instellen dat er enkel verbinding mag worden gemaakt op poort 8080 richting de proxy server.

ik ben natuurlijk maar een klein studentje en maar net geslaagd om een vpn voor thuis op te zetten, maarre, er is zoiets als "split-tunneling".

Het principe komt hier op neer: alle verbindingen voor netwerken gaan via de vpn tunnel, maar internet (verkeer naar buiten toe) gaat via de standaard-gateway.

Ik heb het gehaald vanuit het topic waarbij ze geholpen hebben met mijn vpn-problemen...

Bart schreef op donderdag 08 november 2007 @ 21:05:
[...]


Misschien handig als je de oplossing ook verteld?

Wat betreft het "local lan access" verhaal, dat ligt helemaal aan je settings. Ik denk dat je de term split tunneling zoekt. Hiermee heb je, na het opzetten van een VPN verbinding, zowel toegang tot het lokale netwerk als het VPN netwerk.

Misschien heb je hier wat aan:

http://www.isaserver.org/tutorials/2004fixipsectunnel.html

[ Voor 49% gewijzigd door HyperBart op 09-11-2007 14:33 ]

Het enige verschil tussen volledig VPN en split is in XP dat checkboxje -> dat hij wilt blocken
Checkbox: Use default gateway on remote network

Is het geen optie op een ander niveau te gaan filteren. uiteindelijk moeten die pagin's toch in hun browser belanden? Er bestaan zat browserplugins die dat kunnen.
Een alternatief is een proxyserver. je kan die vast in de configuratie van IE zetten. Verder kan je alle http verkeer behalve naar je poxy gewoon de vuilbak in plempen... Je proxy zou niet bereikbaar mogen zijn via de gateway van je klanten dus...

[ Voor 10% gewijzigd door the_stickie op 09-11-2007 14:47 ]

Het is maar een gedacht, ik weet niet hoe pro's dit mogelijk maken, maarre

Kan je niet regelen, dat die tunnel door de proxy gaat, maar dat de proxy toegang heeft TOT de tunnel zodat je in de tunnel kan filteren ? ofzoiets ?

ik mag hopen dat als ik een encrypted tunnel opzet er niet nog een of andere proxyserver is die dat verkeer bekijkt.
Sowieso gaat het al mis omdat de gebruikers dingen kunnen doen (VPN tunnels configureren) die ze niet zouden moeten kunnen doen lijkt me.

TrailBlazer schreef op vrijdag 09 november 2007 @ 15:23:
ik mag hopen dat als ik een encrypted tunnel opzet er niet nog een of andere proxyserver is die dat verkeer bekijkt.
Sowieso gaat het al mis omdat de gebruikers dingen kunnen doen (VPN tunnels configureren) die ze niet zouden moeten kunnen doen lijkt me.

Ja, dat begrijp ik, en weet ik, maar allé, ik bedoelde het als volgt, kan je niet regelen als IT-beheerder (tis maar een gedacht van een lompe 17-jarige..., net begonnen als Toeg. Informaticastudentje) dat je tunnel eerst naar de proxy loopt, en dat de proxy op zijn beurt een tunnel maakt naar de gewenste klant. Dat je bv alle klanten in een whitelist verwerkt in de proxy, het vpn-gedoe op een netwerkpc blokkeert en dat je zegt dat het via de proxy altijd moet getunneld worden... ?

Zoals ik dus denk dat het gaat, in mijn ideale verhaaltje:

1. client gaat met tunnel naar proxy, proxy en client kunnen encrypten/decrypten
2. Proxy filtert verkeer
3. Proxy tunnelt naar klant-netwerk met nieuwe vpn

Bezie het alsof de proxy een "mof" is zoals wij het hier zeggen, een koppelstukje tussen twee buizen waar een netje inzit dat bepaalde dingen filtert...

Maar wrschlk denk ik te simpel...

[ Voor 24% gewijzigd door HyperBart op 10-11-2007 02:02 ]

HyperBart schreef op vrijdag 09 november 2007 @ 22:59:
[...]


Ja, dat begrijp ik, en weet ik, maar allé, ik bedoelde het als volgt, kan je niet regelen als IT-beheerder (tis maar een gedacht van een lompe 17-jarige..., net begonnen als Toeg. Informaticastudentje) dat je tunnel eerst naar de proxy loopt, en dat de proxy op zijn beurt een tunnel maakt naar de gewenste klant. Dat je bv alle klanten in een whitelist verwerkt in de proxy, het vpn-gedoe op een netwerkpc blokkeert en dat je zegt dat het via de proxy altijd moet getunneld worden... ?

Zoals ik dus denk dat het gaat, in mijn ideale verhaaltje:

1. client gaat met tunnel naar proxy, proxy en client kunnen encrypten/decrypten
2. Proxy filtert verkeer
3. Proxy tunnelt naar klant-netwerk met nieuwe vpn

Bezie het alsof de proxy een "mof" is zoals wij het hier zeggen, een koppelstukje tussen twee buizen waar een netje inzit dat bepaalde dingen filtert...

Maar wrschlk denk ik te simpel...

Het principe op zich kan wel. Je wil alleen niet dat er een device is wat tussen jouw ogenschijnlijke veilige verbinding dingen doet.

offtopic:
is dat zo geen knipding in jouw avatar ? zo met twee snijbladen die over mekaar gaan om gras of iets anders te knippen?

[quote]TrailBlazer schreef op zaterdag 10 november 2007 @ 09:41:
[...]

Het principe op zich kan wel. Je wil alleen niet dat er een device is wat tussen jouw ogenschijnlijke veilige verbinding dingen doet.

[...]

Tja, wie wil het niet, de werknemers? Simpel: je zet het in de bedrijfspolicy dat het verkeer ALTIJD door de proxy gaat, en dat er anders geen verkeer mogelijk is, als het niet door de proxy gaat...

of bedoel je de TS zelf ? Die lijkt me nogal te goeder trouw, dus die zal ook wel het ok vinden, dat hij een verbindig gebruikt die hij zelf even "onderbreekt en verderzet".

Is dit nu een goede oplossing of niet ?

De oplossing zou best kunnen werken alleen het druist tegen het principe in van een veilige verbinding. Dus dat is de afweging die gemaakt moet worden. Er zijn zat mogelijkheden om een router neer te zetten die allerhande VPN tunnels opzet naar 3e partijen. Dit is sowieso aan te bevelen omdat er nu een verbinding gemaakt wordt naar een untrusted netwerk en zo alle firewalls tussen je eigen netwerk en engen buitenwereld overslaat.

Heeft TS wel eens gehoord van een AD (Active Directory) en GPO (Group Policy Objects).

Als je zo "gebrand" bent op security zorg dan dat alle pc's in een domein hangen, en dat je via dat domein alle instellingen verzorgt. (ook dat ene vinkje voor external gateway).

Mja, in pure zin is het niet meer veilig, omdat er een break is, maar die server is toch wel veilig veronderstel ik? Die server zal wel afgeschermd zijn tegen bad traffic van buitenaf, dus als je het totaalplaatje bekijkt zal toch alles veilig zijn? En een werknemer zal een andere niet willen onderscheppen als hij uberhaupt al toegang krijgt tot de server om te kijken wat er "geboekhoudt wordt"... Toch?

rdfeij schreef op zondag 11 november 2007 @ 12:22:
Heeft TS wel eens gehoord van een AD (Active Directory) en GPO (Group Policy Objects).

Als je zo "gebrand" bent op security zorg dan dat alle pc's in een domein hangen, en dat je via dat domein alle instellingen verzorgt. (ook dat ene vinkje voor external gateway).

Damned Dat we daar niet aan gedacht hadden!
Een domein hebben zoals de TS zegt is natuurlijk iets HELEMAAL anders, misschien moeten we hem gewoon een Active Directory laten opzetten .
Heb jij toevallig al van het naampje van die instelling gehoord? Deel het ons dan mee, want de TS heeft al duidelijk gezegd dat hij het niet vindt

[ Voor 50% gewijzigd door HyperBart op 11-11-2007 22:50 ]

Welke veilige verbinding? TS meldt al dat er vpn's worden opgezet naar klanten... sowieso untrusted.