Switch mit integrierter Firewall/VPN

[AncientAlien]

Ich benötige einen Switch, entsprechende Kaufberatung. Ich habe einen im Visier und wollte Fragen ob er folgendes erfüllt.

http://support.netgear.de/product/FVS318G

Das Gerät soll der Anbindung von entfernten, mobilen Computern (reisenden Mitarbeitern) an das Unternehmensnetzwerk dienen, wobei

a) der entfernte Computer sich an ungeschützter Stelle befindet mit Anschluss an das öffentliche Internet (etwa an einem öffentlichen Hotspot im Zug, Hotel)
b) das Gerät FVS318 Teil des Unternehmensnetzwerks ist mit Standort München und verfügt über eine gesicherte Verbindung zum Internet.

Das empfohlene Gerät soll nun so konfiguriert werden, dass eingehende VPN-Verbindungen von entfernten Computern in folgender Weise bearbeitet werden:

1) der entfernte Computer baut über das öffentliche Internet eine VPN-Verbindung zum FVS318 auf;
2) aller Verkehr vom entfernten Computer wird zunächst zum FVS318 geroutet, auch wenn er sich auf Ressourcen bezieht, die nicht Teil des Unternehmensnetzwerks sind; ein direkter Aufruf von Internet-Ressourcen vom mobilen Arbeitsplatz aus findet also nicht statt;
3) Anfragen vom entfernten Computer, die sich auf Ressourcen im Unternehmensnetztwerk beziehen, werden dort abgewickelt;
4) Anfragen vom entfernten Computer, die sich auf Ressourcen außerhalb des Unternehmensnetztwerks beziehen, werden
i) vom FVS318 über die aufgebaute VPN-Verbindung angenommen,
ii) sodann gegen das Internet abgewickelt und
iii) die von dort eingehenden Antworten über die VPN-Verbindung an den entfernten Computer geleitet.

Ziel ist es hierbei, für den mobilen Mitarbeiter Zugang zu Ressourcen außerhalb des Unternehmensnetzwerks zu gewährleisten, wobei zu keinem Zeitpunkt eine ungesicherte, öffentliche Verbindung verwendet wird. Das Routing über die VPN-Verbindung soll hierbei für die Applikationen auf dem mobilen Computer transparent sein; es soll also für die Anwendungen auf dem mobilen Compuer keinen Unterschied machen, ob Internet-Ressourcen direkt oder über VPN-Rerouting abgewickelt werden.

Eine weitere Einsatzmöglichkeit wäre der Zugang zu geographisch eingeschränkten Ressourcen (z. B. für Deutschland geo-restricted), wenn sich der reisende Mitarbeiter im Ausland befindet.

Ich hoffe, der Anwendungsfall ist ausreichend informiert, ich bitte auch um Alternativen.

 

[Voltago]

Was du suchst ist eine Firewall und kein Switch.

Konsultiere ein Systemhaus, nenne diesen die Anforderungen und die werden dir etwas Passendes anbieten und konfigurieren.

 

[Madman1209]

Hi,

dem, was Voltago sagt, ist nichts mehr hinzuzufügen! So und nicht anders!

VG,
Mad

 

[Lawnmower]

Liest sich wie eine Prüfungsaufgabe - auch die Schreibweise.

Zu deiner Frage: Ja mit dem Produkt könnte man das abdecken aber da gibts bessere Lösungen.

 

[Raijin]

Liest sich wie eine Prüfungsaufgabe - auch die Schreibweise.

Mein Gedanke. Die Anforderungen 1-4 bzw. i-iii sind derart detailliert, dass es nach fundiertem Hintergrundwissen klingt. Dann müsste man aber die Frage nicht stellen.

@TE: Wenn dem so ist, dann werden Prüfungsaufgaben hier ungern thematisiert bzw. sind sogar gegen die Boardregeln.
Sollten wir falsch liegen, kann man den Hinweis auf das Systemhaus nur noch mehr unterstreichen. Privates VPN kann man per DIY aufsetzen, aber ein Firmen-VPN sollte in fähige Hände gelegt werden. Immerhin stehen die Daten des Unternehmens auf dem Spiel, wenn man beim Frickeln Mist baut.

 

[AncientAlien]

Die Frage wird gestellt, weil ich diese hier weitergab. Es handelt sich um einen Kunden, der diese Fuktionen wünscht und auf einen Switch bestand. Wisst ihr denn ob dieser Switch diese etwas komplexen Anforderungen erfüllt?^^

 

[matt_99]

Switche bauen kein VPN auf.....

Nicht böse gemeint, aber wenn man keine Ahnung von der Materie hat, sollte man erst recht keine Kunden beraten. Als Kunde wendet man sich an ein Systemhaus / IT-Dienstleister / Security-Firma, diese bauen das System auch so auf das es am Ende auch sicher ist!
Irgendwie mit Halbwissen hingebastelt kann man maximal zu hause machen, das geht im Firmenumfeld gar nicht....

 

[Raijin]

Ich frage mich auch gerade wieso ein Kunde dich fragt, wenn du hier fragen musst?

 

[Lawnmower]

Der Netgear sieht zwar aus wie ein Switch aber es handelt sich effektiv um eine Firewall mit VPN Funktionalität und eben noch ein paar Netzwerkports.

Aber Du solltest noch ein paar Abklärungen treffen bevor Du ein Produkt auswählst wie z.B. wieviele Roadwarriors greifen gleichzeitig drauf zu, wie ist die Internetanbindung, sollen Site-to-Site Verbindungen möglich sein, sollen VPN User an ein AD gekoppelt werden, etc. Der erwähnte Netgear ist z.B. recht limitiert in der Bandbreite (30 Mbit) und damit nicht sehr zukunftssicher. Ausserdem scheint er nur Site-to-Site VPNs aufbauen zu können (max 5 Stück) und unterstützt die Einwahl durch VPN Clients gar nicht erst - sprich das Teil wäre für dein Vorhaben sicherlich nicht geeignet.

Schaue Dir sowas mal an: https://www.studerus.ch/de/products/zyxel-usg60/
Der schafft 180 Mbit/s VPN und 1000 Mbit WAN to LAN Traffic. Das Ding unterstützt ausserdem neben Site-to-Site VPN auch SSL-VPN (VPN Einwahl ohne Client direkt via Browser) und gibts in verschiedenen Varianten bis hin zu 7 Gbit WAN to LAN und 900 Mbit VPN Traffic.
Aber so ein Ding sauber und sicher einzurichten ist nicht ganz trivial.

Daneben gibts noch zig weitere Hardware Produkte von anderen Herstellern (Cisco, HP, etc) und OpenSource Appliance Möglichkeiten (z.B. pfsense) die auch in einer virtuellen Umgebung (z.B. Vmware) ausgeführt werden können.