Das mit der DMZ sind nur Ideen, wie man Anwender Websessions ermöglichen kann, ohne das sie die IT brauchen. Im Prinzip ist das hier ein Brainstorming.
Unsere DMZten sind abgesichert und es hat kein Anwender die Möglichkeit, RDP zu nutzen (weder im LAN, noch in die DMZ)
Die "Surf"-Kiste in der DMZ wird ursprünglich per Softwareverteilung installiert. Die Kiste wird dann in eine eigens dafür angelegte DMZ verschoben und die Kommunikation ins LAN komplett unterbunden (Updates dann über Internet, nicht über SCCM usw.). Im Prinzip wie ein 0815 DSL PC.
Wenn der Anwender jetzt z.B. ein Adobe-Meeting o.ä. Einladung bekommt, so müsste man im LAN dies erst ermöglichen. D.h. evtl. das PlugIn installieren. Nur wenn man das ermöglicht, dann kann über so eine Websession Dateien ungefilter ins LAN geholt werden. Das ist bei uns ein absolutes no go, deswegen ist LAN-Intern keine Websession erlaubt.
Nur nun müssen natürlich einige Leute an Websession teilnehmen. Da wir das in unserm Netz komplett unterbinden (Aufgrund des Dateitransfers welcher in fast jeder Websession-Software möglich ist), suchen wir eine Möglichkeit dies für die User zu ermöglichen. Deswegen war die Idee mit der VD in der DMZ welche an einen normalen DSL Anschluss geroutet wird. Anwender können hier frei (nach vorheriger "Buchung der Kiste" im Intranet) auf diese zugreifen.
Somit ist das LAN geschützt, die VD wird automatisch einmal pro Woche durch VM Ware Mitteln resetet. die Anwender können den Mehrwert nutzen, ohne das die Sicherheit des Netzes gefährdet ist.
Erste Idee war halt RDP. Nur hier kann der Anwender wie gesagt die Laufwerke mappen und eine Unterbindung durch die lokale Richtlinie ist wiederrum eine Lücke, da der Anwender diese ja ändern kann, weil er auf der "Schlam..n" Kiste Admin ist :-), um sich die PlugIns für die verschiedenen Websessions-Lösungen zu installierne. Die Kiste wird einmal pro Woche neu gemacht wird.
Da beißt sich die Katzen in Schwanz.
Deswegen wäre es für mich/uns auch interessant, wie es bei anderen Firmen läuft. Aber mittlerweile bin ich mit vm-ware auf einem Weg, wo man genau das ermöglichen kann.
Unsere DMZten sind abgesichert und es hat kein Anwender die Möglichkeit, RDP zu nutzen (weder im LAN, noch in die DMZ)
Die "Surf"-Kiste in der DMZ wird ursprünglich per Softwareverteilung installiert. Die Kiste wird dann in eine eigens dafür angelegte DMZ verschoben und die Kommunikation ins LAN komplett unterbunden (Updates dann über Internet, nicht über SCCM usw.). Im Prinzip wie ein 0815 DSL PC.
Wenn der Anwender jetzt z.B. ein Adobe-Meeting o.ä. Einladung bekommt, so müsste man im LAN dies erst ermöglichen. D.h. evtl. das PlugIn installieren. Nur wenn man das ermöglicht, dann kann über so eine Websession Dateien ungefilter ins LAN geholt werden. Das ist bei uns ein absolutes no go, deswegen ist LAN-Intern keine Websession erlaubt.
Nur nun müssen natürlich einige Leute an Websession teilnehmen. Da wir das in unserm Netz komplett unterbinden (Aufgrund des Dateitransfers welcher in fast jeder Websession-Software möglich ist), suchen wir eine Möglichkeit dies für die User zu ermöglichen. Deswegen war die Idee mit der VD in der DMZ welche an einen normalen DSL Anschluss geroutet wird. Anwender können hier frei (nach vorheriger "Buchung der Kiste" im Intranet) auf diese zugreifen.
Somit ist das LAN geschützt, die VD wird automatisch einmal pro Woche durch VM Ware Mitteln resetet. die Anwender können den Mehrwert nutzen, ohne das die Sicherheit des Netzes gefährdet ist.
Erste Idee war halt RDP. Nur hier kann der Anwender wie gesagt die Laufwerke mappen und eine Unterbindung durch die lokale Richtlinie ist wiederrum eine Lücke, da der Anwender diese ja ändern kann, weil er auf der "Schlam..n" Kiste Admin ist :-), um sich die PlugIns für die verschiedenen Websessions-Lösungen zu installierne. Die Kiste wird einmal pro Woche neu gemacht wird.
Da beißt sich die Katzen in Schwanz.
Deswegen wäre es für mich/uns auch interessant, wie es bei anderen Firmen läuft. Aber mittlerweile bin ich mit vm-ware auf einem Weg, wo man genau das ermöglichen kann.
Zuletzt bearbeitet:
