Lijst met VPN protocollen per firewall beschikbaar?

Ik snap het voordeel hiervan echt niet zie vooral een introductie van risico's. Het betekend namelijk ook dat de 12 jarige zoon op je bedrijfsnetwerk komt met mogelijk hack aspiraties etc. Los van de inpact op de privacy voor een werknemer. Dit is iets wat eigenlijk nooit wordt gedaan L2L gebruik je tussen vestigingen bijvoorbeeld.
In die gevallen kies je voor een merk meestal.

[Voor 6% gewijzigd door Frogmen op 14-02-2023 10:00]

Geen enkel zichzelf respecterend bedrijf laat een L2L verbinding toe naar een thuis netwerk.
Als ze dat wel doen zijn ze echt heel slecht bezig.

Security gaat altijd ten koste van gemak, maar dat is geen reden om het maar achterwege te laten.

Je kunt ook vanaf je thuis PC meerdere VPN connectie gelijktijdig opzetten in plaats van een L2L gatenkaas te maken.

Roy23 schreef op dinsdag 14 februari 2023 @ 10:06:
[...]


Want dat kan je 12 jarige zoon niet bij een remote access VPN die zo'n beetje alle thuiswerkers hebben?

Correct. Want dat remote access VPN wordt beveiligd met jouw gebruikersnaam, wachtwoord en MFA code/key/token. En dat heeft je zoon niet.
(En als je zoon die wél heeft, dan wordt het tijd jezelf even snel te melden voor een opfriscursus security awareness bij de IT afdeling van je werk )

Volgens mij wil je gewoon dat je via de hoofdvestiging ook bij de nevenvestigingen kan daar heb je voor thuis toch geen L2L voor nodig.

Roy23 schreef op dinsdag 14 februari 2023 @ 10:06:
[...]


Want dat kan je 12 jarige zoon niet bij een remote access VPN die zo'n beetje alle thuiswerkers hebben? Onzin. Het ligt er maar net aan hoe je je access-rules hebt staan.

Zoals in mijn openingspost uitgelegd gebruik ik L2L omdat we verbinden naar meerdere vestigingen en het is heel erg onhandig als ik steeds mijn Remote Access VPN moet verbreken zodat ik een Remote Access VPN kan opstarten naar de andere vestiging enzovoorts. Ik (en meerdere collega's van mij) wisselen constant tussen vestigingen bij het thuiswerken.

Dat is een kwestie van plannen en goed inrichten. Als je een hub-and-spoke model kiest waarbij iedereen (de thuiswerkers) 'inbelt' op de hub, en de hub is verbonden met de vestigingen (spokes) dan is er geen probleem om andere vestigingen te benaderen.

P2S (point-to-site) VPN met meervoudige authenticatie is the way to go. Alle andere is 'hobby' en zakelijk niet geschikt. Als je audits krijgt ga je volledig nat als je S2S (site-to-site) gebruikt voor thuiswerkers.

@Roy23 Het krijgen van een overzicht van firewalls is een 'let me google that for you'-vraag.
Je zal zelf een lijstje met SOHO firewalls moeten opstellen en daarbij de technische specificaties moeten opzoeken.

Nou vooruit: zoeken met Google.

[Voor 62% gewijzigd door pistole op 14-02-2023 10:18]

Roy23 schreef op dinsdag 14 februari 2023 @ 10:22:
En dat is niet alleen bij Fortigate het geval, ook bij merken als Draytek mis ik een dergelijk overzicht.
Vandaar mijn vraag hier of iemand een goede manier weet om hierachter te komen.

Handleiding?
https://docs.fortinet.com...852/encryption-algorithms
/edit: Ik zie dat voor de 60D FortiOS 6.0.16 de laatste versie is, dus bovenstaand gaat niet op.

[Voor 18% gewijzigd door Nielson op 14-02-2023 10:39]

Roy23 schreef op dinsdag 14 februari 2023 @ 10:22:
[...]


Geloof me dat ik eerst gegoogled heb voordat ik de vraag hier stelde. Zojuist kwam ik een Fortigate 60D tegen (gebruikt) en wilde weten of deze bijvoorbeeld IKEv2 SHA512 ondersteund, maar zelfs in de PDF datasheet van Fortigate zelf staat niet vermeld wat de maximale SHA/AES/IKE instellingen zijn.
Dus zelfs als je een specifiek model in gedachte hebt is Googlen in dit geval niet zaligmakend.

En dat is niet alleen bij Fortigate het geval, ook bij merken als Draytek mis ik een dergelijk overzicht.
Vandaar mijn vraag hier of iemand een goede manier weet om hierachter te komen.

https://docs.fortinet.com...852/encryption-algorithms

Is meer een eigenschap van de firmware dan van het device (denk ik, dat zal ongetwijfeld per vendor weer kunnen verschillen). Bedenk je wel dat je, in het geval van tweedehands, wellicht geen recht hebt op firmware updates.

Roy23 schreef op dinsdag 14 februari 2023 @ 10:15:
Ik denk dat ik het topic maar ga sluiten want de vraag voor een overzicht van firewalls wordt door iedereen genegeerd, jammer.
Voor iedereen die denkt dat L2L niet geschikt is en 1 grote gatenkaas is (@Ben(V) ), blijf jij alsjeblieft uit de buurt van de firewalls want je bent kennelijk niet bekend met Access Rules in combinatie met VPNs.
Die Remote Access VPNs kunnen net zo goed 1 grote gatenkaas zijn als L2L als je je Access Rules niet op orde hebt.

Blijkbaar heb je voor een oplossing gekozen en sta je niet meer open voor kritiek.
Iemand die een VPN gatenkaas wil noemen en vervolgens een sit-to-site verbinding tussen een thuisnetwerk en een werkomgeving wil maken staat niet meer open voor behulpzame kritiek.

Met firewall kun je veel regelen al is dat een dure oplossing als je het goed wil doen, maar je vergeet dat een thuisnetwerk fysiek ook onveilig is.
Iemand trekt de firewall eruit en weg veiligheid.
En je bedrijf zal je ook persoonlijk verantwoordelijk houden als er iets mis gaat.

Ik zou dit een probleem maken van de werkgever, laat die het fatsoenlijk regelen, en als de werknemer daarvoor een specifieke firewall nodig heeft (wat bij een goed inrichte omgeving eigenlijk nooit het geval zal zijn, laat dan de werkgever deze ook verstrekken. Dit soort zaken wil je niet oplossen door werknemers als volwaardige hobbybob klussers zelf firewalls te laten kopen en in te laten stellen.

Roy23 schreef op dinsdag 14 februari 2023 @ 12:08:
[...]
In situatie 1 ga je net zo goed een situatie hebben dat de laptop aangemeld is bij het kantoor middels VPN en dat deze op de keukentafel staat terwijl jij een boodschap aan het doen bent, en dus onbeheerd achter gelaten is. Ja, dat kan je puberzoon er ook bij. 2FA, gebruikersnaam wachtwoord maakt allemaal niets uit. Kan je als firewall beheerder op kantoor helemaal niks aan veranderen.

Maar als jij je laptop met actief VPN op de keukentafel laat staan en een boodschap gaat doen, dan is je laptop dus gelockt, en kan je zoon er niks mee (zonder hem (hard) te herstarten en daarmee het VPN te verbreken.

Laat je hem wel onbeheerd én onvergrendeld achter? - Zoals ik al eerder zei; Hoogste tijd voor een opfriscursusje security awareness...

Als je je puberzoon gebruik laat maken van je (werk)laptop/computer dan heb je gelijk. Maar ik zou 2FA niet zomaar terzijde schuiven; die tweede factor kan dan juist het verschil maken.

In een moderne client VPN configuratie wordt niet alleen een client gekoppeld, maar mag deze client alleen koppelen onder bepaalde voorwaarden (health status, eventueel locatie, etc). Dat ga je met een L2L niet regelen.

Maar het gaat terzijde van de vraag, die is deels beantwoord. Ik ben het ook eens met de opmerking van @Dennism.

Kun je niet een firewall van je werk krijgen die voldoet? Als er dan toch een koppeling moet komen met werk dsn vloeit dit dus ook voort uit werkzaamheden vanuit de werkgever. Die moet daar dan ook de middelen voor ter beschikking stellen. Weet je ook zeker dat je geen persoonlijk gezeik/miskoop gaat krijgen.

Roy23 schreef op dinsdag 14 februari 2023 @ 12:08:
[...]


Goed leg mij 1 ding uit:
Situatie 1:
Je hebt een Remote Access VPN (zoals de meeste mensen die thuiswerken) en je configureert dit zo dat de gebruikers enkel toegang hebben tot IP-adres X over poort Y.
Situatie 2:
Je hebt een L2L VPN verbinding (die enkele mensen hebben, waaronder ik) en je configureert dit zo dat het subnet van de "thuiswerker" (ik in dit geval) enkel toegang heeft tot IP-adres X over poort Y.

In situatie 1 ga je net zo goed een situatie hebben dat de laptop aangemeld is bij het kantoor middels VPN en dat deze op de keukentafel staat terwijl jij een boodschap aan het doen bent, en dus onbeheerd achter gelaten is. Ja, dat kan je puberzoon er ook bij. 2FA, gebruikersnaam wachtwoord maakt allemaal niets uit. Kan je als firewall beheerder op kantoor helemaal niks aan veranderen.

Jij hebt in je hoofd zitten dat Remote Access VPN per definitie beter beveiligd is dan L2L en dat is gewoon niet zo. Het is echt een kwestie van hoe je je netwerk in totaal beveiligd hebt.

Wat ik mij vooral afvraag hoe ga je zorgen dat zoon lief niet met zijn eigen laptop het bedrijfsnetwerk op kan? Daar zit je grootste gat, want je hele thuisnetwerk is verbonden. Dit los van je collega die in jouw netwerk kan komen. Natuurlijk kan je dat allemaal met regels etc dichtzetten maar is dat onderhoudbaar?

Met een L2L koppel je eerst het het hele thuis netwerk aan je werk netwerk en vervolgens ga je proberen dat met een firewall en heel veel rules rules weer dicht te timmeren.
Even vergetend dat je een fysiek bereikbare omgeving niet met een firewall kunt afsluiten.

Met een VPN maak je een enkel een connectie vanaf je laptop en die kun je netjes beveiligen met een F2A.
Een beetje professioneel bedrijft heeft usb disks of smartcard voor zijn werknemers.
Op deze manier is enkel je laptop of de usb/smartcard fysiek te beveiligen en kun je als je even weg gaat die eruit trekken of de laptop locken.

Ik ken geen enkel bedrijf dat een L2L voor zijn werknemers zou willen opzetten.

100% eens met @Ben(V)

Goed leg mij 1 ding uit:
Situatie 1:
Je hebt een Remote Access VPN (zoals de meeste mensen die thuiswerken) en je configureert dit zo dat de gebruikers enkel toegang hebben tot IP-adres X over poort Y.

Deze remote VPN zet je normaliter op vanaf 1 device, alleen dit device heeft access.
VPN client wordt geinstalleerd op 1 device (password/2FA etc).

Situatie 2:
Je hebt een L2L VPN verbinding (die enkele mensen hebben, waaronder ik) en je configureert dit zo dat het subnet van de "thuiswerker" (ik in dit geval) enkel toegang heeft tot IP-adres X over poort Y.

Ten eerste:
1: Alle subnets moeten "uniek" zijn, 2 netwerken met 192.168.1.0/24 gaat dus al issues geven.
2: Sommige VPN protocollen moet je configuren met een endpoint IP, ga jij elke keer die endpoint IP's aanpassen bij (consumenten) lijnen met een dynamic IP?
3: Een heel subnet zijn ook gelijk alle devices, inc de pc van de spreekwoordelijke tienerzoon.

Het is niet zo dat het perse onveilig is als je source IP (1 werkstation) allowed en alles netjes bijhoudt maar heb jij zin in de administratie? In het algemeen is het gewoon een oplossing die totaal niet schaalbaar is en waar jij volgens jouw TS ook nog eens hardware voor wil aanschaffen... IMO zou een goedkope Mikrotik met Wireguard (server) en clients op de workstations een veel betere optie zijn voor een fractie van de kosten. Maar zoals eerder genoemd als je niet open staat voor beter oplossingen...

En btw wat is het uberhaupt voor vraag? Welke protocollen heb je nodig? Welke bandbreedte is benodigd bij welke packet size (PPS)?

[Voor 28% gewijzigd door MasterL op 14-02-2023 14:24]

Rules zullen wellicht nog meevallen als het om enkele poorten gaat met een access-list, ach.
Ik zal je vraag beantwoorden, welke encryptie niveau is benodigd/vereist. Wat wil je gebruiken?
Wat zijn de bandbreedte vereisten? (Lees PPS i.c.m. packet size).

Een router die alles "ondersteunt" maar een throughput heeft van 64Kbps wordt je ook niet vrolijk van toch?

@Roy23 Wat ik nog steeds niet begrijp wat nu het beoogde voordeel is boven een gewoon VPN en hoe ga jij voorkomen dat je zoon ook gebruik maakt van die VPN vanaf zijn eigen PC. Of zet je dan jouw laptop zijn vaste IP adres in je eigen router als enige die toegang heeft tot die route?
Kan je niet zorgen dat jullie op VPN inloggen die de benodigde routes hebben die je nodig hebt. Lijkt mij in zijn geheel veel fijner want dan kan je ook dus ergens anders werken, zoals bij je vriendin/ maitresse etc..
Je denkt heel erg in een oplossing voor nu voor jezelf en hopelijk je huidige collega's maar weinig generiek waardoor onderhoud tijdrovend wordt en zodra je weg bent wordt het niet meer gebruikt.

Je bewering dat site-to-site VPN tunnel net zo veilig zijn als een Remote Access VPN raakt echt kant noch wal, maar daar is genoeg over gezegd. Complete waanzin om dat naar gebruikers thuis aan te leggen.

De IT is sowieso beroerd opgezet als je per vestiging een losse VPN moet maken. Een beetje IT afdeling bouwt het zodanig dat je op 1 centrale plek inlogt met je VPN en vervolgens op basis van je rechten verbindingen kan opbouwen met andere vestigingen.

Maar laten we voor de gein eens aannemen dat de site-to-site oplossing de enige werkbare oplossing is. Waarom moet jij dan een eigen firewall kopen? Waarom wordt een dergelijke oplossing niet uitgeleverd door IT? Dan kan er gelijk gebruik gemaakt worden van schaalgrootte en een uniforme oplossing die beheerd kan worden door de IT afdeling. Een beetje IT afdeling zou in zo'n geval een firewall + eventuele aanvullende apparatuur leveren zodat in ieder geval alleen jouw laptop achter de site-site VPN tunnel zal zitten om daarmee al ontzettend veel risico's weg te nemen.

Als IT bizarre oplossingen toestaat zoals jij beschrijft dan zijn ze geen knip voor de neus waard in mijn ogen in mijn ogen.

[Voor 21% gewijzigd door Drardollan op 14-02-2023 14:58]

@Roy23 Zeg dan gewoon welke eisen je hebt aan de apparatuur? Dan kunnen wij serieus advies geven.
Dat de huidige opzet die jij voor ogen hebt 0,0 schaalbaar is zijn wij allang achter. Sterker nog waarom doe je niet gewoon een port forward firewalled op source IP? Ervanuitgaande dat dit om een RDP/Citrix achtige connectie gaat heb je geen VPN nodig (is toch al encrypted net als HTTPS/SSL) toch?
Als jij L2VPN wil gebruiken prima, zeg dan wat je vereisten zijn dan kan iedereen meedenken over de apparatuur als je inhoudelijk kunt reageren op mijn vorige vraag.

Maar waarom heb je niet gewoon meerdere simultane vpn verbindingen vanaf je laptop open staan ?
Komt dat door conflicterende (lokale) ip ranges?

Want als je meerdere l2l verbinden opzet dan loop je daar toch ook tegenaan?

Roy23 schreef op dinsdag 14 februari 2023 @ 15:36:
[...]


Omdat we over de verschillende landen met verschillende IT teams zeker 4 verschillende vendors hebben van firewall/VPN devices, en een aantal daarvan conflicteren de VPN clients die daarbij horen met elkaar.

Is het dan niet mogelijk een generieke vpn client te gebruiken die je voor al die verbindingen gebruikt?
Of ga je met de L2L ook een andere vorm van authenticatie gebruiken (bv geen mfa maar shared keys).

Of is het geen idee om naar een centrale plek de L2L verbindingen op te bouwen en dat je daarnaartoe connect met je vpn client? een soort management hub

[Voor 12% gewijzigd door laurens0619 op 14-02-2023 15:45]

Roy23 schreef op dinsdag 14 februari 2023 @ 16:14:
[...]


In ieder geval 1 client maakt gebruik van MFA en is om die reden (heb ik mij laten vertellen en acht het ook waarschijnlijk) niet te gebruiken met van die generieke VPN clients.

Maar als ze je toestaan om een L2L te gebruiken, dan valt MFA denk ik ook weg.
Los ervan of dat een goed idee is:
Als ze daartoe bereid zijn, dan kunnen ze toch ook wel MFA droppen voor dat account?
Dan kun je generieke vpn client gebruiken en ben je van het gedoe af + heb je geen hardware nodig