Via RDP aus dem Home Office auf einen Client: elegante Lösung?

[LasseSamenström]

Vlt wäre ja TS+ was für euch

 

[nutrix]

Vlt wäre ja TS+ was für euch

Hat er oben schon geschrieben:

Remote Access Tools von Drittanbietern dürfen bei uns nicht permanent laufen.

 

[gaym0r]

Dass man ganz viele Firewallregeln als "normal" beschreibt, unterschreibe ich so pauschal nicht. Die Frage ist ja auch, bis zu welcher Anzahl gehen für Dich "viele Firewallregeln"?

Bei mir ists häufig im hohen dreistelligen bis vierstelligem Bereich was Anzahl der Regeln angeht, von Kunde zu Kunde unterschiedlich. Ist für mich in großen Umgebungen normal.

Ab einer zu großen Anzahl würde ich eher argumentieren, dass sich da jemand zu wenig Gedanken gemacht hat, wenn man für jedes Anliegen eine eigene Firewallregel konstruiert.

Als Alternative dann: Freie Fahrt für alle oder halt "Pech gehabt"?

Jede Allow-Regel ist ja letztlich ein potentielles Einfallstor. Und jede Regel muss dokumentiert sein.

Dafür gibt es CABs, CRs und Vier- bis Sechs-Augen-Prinzip bei der Implementierung.

Ebenso sollte jeder Regel immer mal wieder zur Wiedervorlage kommen, um zu prüfen, ob sie noch notwendig ist.

Richtig.

Mitunter kann man auch mehrere Regeln zusammenfassen. Das wird aber schwierig, wenn man so viele Regeln hat, dass man den Überblick verliert.

Natürlich kannst du als Source alle betreffenden VPN-User nehmen und als Destination alle betroffenen Workstations. Dann ist aber jeder User nicht mehr auf seine eigene Kiste beschränkt.
Da sollte aber vermutlich nichts gegensprechen, da er ja ohnehin von seiner eigenen Workstation auf die anderen Workstations hoppen könnte.
Warum machst du es dann nicht so?

Deswegen kommt in absehbarer Zeit Port Isolation.

Port-Isolation bzw. Private VLAN hat aber Limits, z.B. bei Umgebungen mit mehreren Edge-Switchen. Manche Hersteller haben dafür aber switchübergreifende Implementierungen (z.B. Cisco)

 

[sikarr]

Bei mir ists häufig im hohen dreistelligen bis vierstelligem Bereich was Anzahl der Regeln angeht, von Kunde zu Kunde unterschiedlich. Ist für mich in großen Umgebungen normal.

Wir haben auch sehr viele Firewall-Regeln, zusammenfassen klingt erstmal einfach ist dann aber auch schwieriger. Wir haben es u.a. so gemacht das "gleiche" Maschinen, also die gleiche Connectivität benötigen dann über eine Netzfreigabe in der Firewall angelegt sind. Nur wenn es spezielle SAchen sind gibts wieder Individualregeln.
ALL-ALL gibts bei uns nicht.

 

[Seno.-]

Ich würde hier per Usergruppen in der Firewall arbeiten. Bei Sophos geht das, das man User in Gruppen zusammen fässt und somit diesen bestimmte Rechte gibt, z.b. der Zugriff auf einen bestimmten Server oder ähnliches.

Weiter würde ich sowieso Geräte, wie 3d Drucker etc. in ein separate/s VLAN/s schaffen, sind meist was Sicherheit angeht nicht gut abgesichert.