ComputerBase Menü
Aktuelles

VPN Topologie

Status
Für weitere Antworten geschlossen.
D

derocco

Lt. Junior Grade
Registriert
Nov. 2015
Beiträge
347
Frage: Ich habe folgendes Setup:

Ich arbeite fast immer Remote in die Firma.
(Meistens von Zuhause aber manchmal auch aus dem Ferienhaus; Firma sieht das aber nicht gerne, weil ich dann mehr als 1h von der "Arbeitsstätte" weg bin und bei einem Incident (was in 4 Jahren noch nie der Fall war; fast 2h anreise haben würde.) Daher das Agreement, dass ich nur Freitags von da arbeiten darf...

Szenario 1: Das ganze sieht so aus: Mein Arbeitsnotebook steht in der Firma.
Ich greife mit meinem Privaten NB via Firmen VPN ins Firmennetzwerk zu und dann von dort via RDP auf den Rechner.

Die IT Abteilung sieht dann anhand der IP: Aha der hat sich aus der Stadt XY mit dem Netzwerk verbunden alles gut.

Wenn ich jetzt noch einen Layer einschiebe:
Annahme: Bin im Ferienhaus und Ich verbinde mich via privatem Notebook und privatem VPN mit meinem Heimnetz.
Dann gehe ich via RDP auf einen weiteren Rechner im Heimnetz. Auf dem starte ich Firmen VPN und connecte dann mit RDP auf den Firmenrechner und arbeite

Das sollte doch dann für die Firma genau gleich aussehen wie in Szenario 1 oder?
 
Teste und finde es heraus, wenn du dich nicht an Spielregeln deines AG halten willst.
Vielleicht bemerkt er es, vielleicht nicht.
Ergänzung ()

derocco schrieb:
Ich greife mit meinem Privaten NB via Firmen VPN ins Firmennetzwerk zu
Zum Vergrößern anklicken....
Alleine das Szenario ist sicherheitstechnisch eigentlich schon ein no-go...
 
  • Gefällt mir
Reaktionen: grünerbert, nutrix, Tornhoof und 3 andere
Sieh lieber zu, dass du eine Einigung mit deinem AG findest anstatt dir hier Tipps zu holen, wie du ihn verarschen kannst. Wenn es noch nie der Fall war, dass es einen Notfall gab, dann argumentiere damit. Wenn aber doch mal ein Notfall eintritt und du im Ferienhaus bist, dann fällt es eh auf.... Murphys Law und so.

Und wenn du eh "fast immer" von zu Hause arbeitest, ist es eh ziemlich fragwürdig, weshalb du auf deinem privaten Endgerät einen VPN-Tunnel in die Firma hast.... lass dir vom AG Hardware fürs HomeOffice geben.
 
  • Gefällt mir
Reaktionen: grünerbert, nutrix, BFF und 2 andere
Dein "Arbeitsnotebook" steht in der Firma und du verbindest dich "fast immer" von einem ungeprüftem/ungesichertem Gerät ins VPN per RDP auf das Notebook. Das allein ist doch schon blanker Hohn.

Die Fragestellung sollte eher sein, ob es anzunehmende incidents gibt, die erfordern dass du zwingend sofort vor Ort sein musst.
 
  • Gefällt mir
Reaktionen: dafReak und nutrix
derocco schrieb:
dann mehr als 1h von der "Arbeitsstätte" weg bin und bei einem Incident (was in 4 Jahren noch nie der Fall war; fast 2h anreise haben würde.)
Zum Vergrößern anklicken....

Sag niemals nie. 😉
Ich stell mir gerade vor das der Fall eintritt, Du reinkommen sollst, aber elend lange brauchst obwohl Du lt. Standort um die Ecke bist. 😎

Anyway.
Spiel mit offnenen Karten und finde zusammen mit Arbeitgeber eine Lösung.

Inklusive das Du nicht private Hardware nutzt um in die Firma einzusteigen.
 
  • Gefällt mir
Reaktionen: nutrix
Ich frag mich, für was Du dann ein Arbeitsnotebook bekommen hast, wenn Du eh ein privates verwenden (darfst???). An sich sind heute alle Firmen und Behörden aufgrund von Security (zurecht) sehr rigide geworden, so daß nur firmeneigene Geräte zugelassen sind. Wenn Du dann für einen Sicherheitsvorfall mit Deinem Privatgerät verantwortlich gemacht werden kannst, kannst Du Dich auf eine fristlose Kündigung + Schadensersatzforderungen wegen grober Fahrlässigkeit einstellen.
Ergänzung ()

kartoffelpü schrieb:
Alleine das Szenario ist sicherheitstechnisch eigentlich schon ein no-go...
Zum Vergrößern anklicken....
Ich kenne auch keines, wo das so erlaubt sein soll.
 
  • Gefällt mir
Reaktionen: dafReak
Schön dass alle Moralapostel spielen wollen hier. Es geht aber um eine technische frage.
Ergänzung ()

snakesh1t schrieb:
Sieh lieber zu, dass du eine Einigung mit deinem AG findest anstatt dir hier Tipps zu holen, wie du ihn verarschen kannst. Wenn es noch nie der Fall war, dass es einen Notfall gab, dann argumentiere damit. Wenn aber doch mal ein Notfall eintritt und du im Ferienhaus bist, dann fällt es eh auf.... Murphys Law und so.

Und wenn du eh "fast immer" von zu Hause arbeitest, ist es eh ziemlich fragwürdig, weshalb du auf deinem privaten Endgerät einen VPN-Tunnel in die Firma hast.... lass dir vom AG Hardware fürs HomeOffice geben.
Zum Vergrößern anklicken....
Warum sollte ich mehr Hardware hier rumstehen haben? für mich ist es optimal so. Ich habe hier 3 Screens etc. den firmen NB würde ich eh nur in der ecke mit einem dock verbinden müssen etc.
Ergänzung ()

BFF schrieb:
Sag niemals nie. 😉
Ich stell mir gerade vor das der Fall eintritt, Du reinkommen sollst, aber elend lange brauchst obwohl Du lt. Standort um die Ecke bist. 😎

Anyway.
Spiel mit offnenen Karten und finde zusammen mit Arbeitgeber eine Lösung.

Inklusive das Du nicht private Hardware nutzt um in die Firma einzusteigen.
Zum Vergrößern anklicken....
Bring your own device ist in vielen Firmen schon lange akzeptiert und gewünscht.
Mich scheissen zB die Firmen HP massiv an. Da lobe ich mir einen feinen Thinkpad. Den habe ich ja sowieso. ob der 1700 bis 2300 läuft oder 700 bis 2300 macht auch keinen unterschied
 
Zuletzt bearbeitet:
Warum sollte ich mehr Hardware hier rumstehen haben? für mich ist es optimal so. Ich habe hier 3 Screens etc. den firmen NB würde ich eh nur in der ecke mit einem dock verbinden müssen etc.
Zum Vergrößern anklicken....
Weil du auf die Daten deiner Firma zugreifst?!
Was sagt denn der Datenschutz der Firma dazu?
Oder die IT-Abteilung?

Bring your own device ist in vielen Firmen schon lange akzeptiert und gewünscht.
Zum Vergrößern anklicken....
Das war einmal und widerspricht den heutigen Sicherheitsrichtlinien, dafür gab es zuviele Vorfälle in den letzten Jahren. Ja, du kannst dein privates Gerät mit in die Firma bringen und das Gäste-WLAN benutzen. Aber auf sensible Firmendaten, Mailserver oder Branchensoftware: no way!

Mich scheissen zB die Firmen HP massiv an. Da lobe ich mir einen feinen Thinkpad.
Zum Vergrößern anklicken....
Und ob es für dich unbequem, unschön oder unnötig ist, ist in diesem Fall absolut irrelevant!
Auch persönliche Präferenzen spielen keine Rolle...

Junge junge......
 
  • Gefällt mir
Reaktionen: nutrix, dafReak und BFF
derocco schrieb:
Bring your own device ist in vielen Firmen schon lange akzeptiert und gewünscht.
Zum Vergrößern anklicken....
Das mögen die Firmen halten wie sie wollen.
Wir hier tun es nicht. Noch nichtmal wenn wir die Hardware komplett mit dem bepflastern könnten was wir an OS verwaltet verwenden.

Und wenn ein Jemand bezahlt erreichbar sein soll dann hat er sich in einem gewissen Umkreis zu bewegen und nicht auf Rügen oder beim Oktoberfest.

Anyway.
Macht das untereinander aus.
 
  • Gefällt mir
Reaktionen: nutrix und snakesh1t
derocco schrieb:
Dann gehe ich via RDP auf einen weiteren Rechner im Heimnetz. Auf dem starte ich Firmen VPN und connecte dann mit RDP auf den Firmenrechner und arbeite

Das sollte doch dann für die Firma genau gleich aussehen wie in Szenario 1 oder?
Zum Vergrößern anklicken....
Ja aber:
RDP in RDP ist scheisse. Erst recht wenn 2x WAN Latenz dazwischen liegt. Per UDP vielleicht okay. per TCP... naja.

Deine Geo IP Location sowieso nicht präzise. Ich sitze angeblich gerade in Riedlingen. Wäre da kein Marker auf der Karte, dann wüsste ich nicht mal wo Riedlingen ist. Und nein, ich bin da nichtmal in der Nähe.

Davon ab:
Die Firmen-IT schaut bei Road Warriors nicht auf die Source IP. Könnte ja auch sein du gehst per Hotspot online weil grade Ausfall zuhause. Zudem ist es nicht Aufgabe der IT zu prüfen, ob die Mitarbeiter sich an die Home Office regeln halten. Und bei einer BYOD IT ist es vermutlich erst recht kackegal welcher Standort bei deiner IP steht.

ABER:
Bevor du deinen AG betrügst, überlege mal in welch privilegierter Situation du bist. Und das während überall HO runtergeschraubt wird (u.a. wegen solchen Fällen wo es dann mal eskaliert).
Willst du das wirklich riskieren?
 
  • Gefällt mir
Reaktionen: RedPanda05, nutrix, snakesh1t und eine weitere Person
derocco schrieb:
Bring your own device ist in vielen Firmen schon lange akzeptiert und gewünscht.
Zum Vergrößern anklicken....

Ja Aber dann mit der Verwaltung des Unternehmens. Was Du da machst, ist ganz sicher nicht Gang und Gebe.
 
  • Gefällt mir
Reaktionen: nutrix
Angenommen, dein Brötchengeber, der ja scheinbar nicht ganz so dumm ist, merkt dass du ihn mit dem Standort beschummelst, was denkst du ist seine erste Massnahme?
 
  • Gefällt mir
Reaktionen: nutrix
@dudex13 irelevant oder?

Meine Recherche zeigt:

Wenn die Firma DPI auf RDP und VPN macht, könnten sie erkennen, dass du eine verschachtelte RDP-Sitzung nutzt. Falls sie jedoch nur einfache IP-Überwachung oder Traffic-Logs auswerten, sollte es nicht auffallen.
Ergänzung ()

chrigu schrieb:
Angenommen, dein Brötchengeber, der ja scheinbar nicht ganz so dumm ist, merkt dass du ihn mit dem Standort beschummelst, was denkst du ist seine erste Massnahme?
Zum Vergrößern anklicken....
nachfragen was da los ist z.B.
Ergänzung ()

BlubbsDE schrieb:
Ja Aber dann mit der Verwaltung des Unternehmens. Was Du da machst, ist ganz sicher nicht Gang und Gebe.
Zum Vergrößern anklicken....
Du ich habe die Policy nicht gemacht und mich auch gewundert aber it is what it is.
Ich kann mit jedem privaten Rechner, mac, win, linux etc vpn zum Firmennetz aufbauen da aber NICHTS machen ausser via RDP auf meine Kiste die da rumgammelt. Machen bei uns sicher 50% weil sie zu faul sind den Notebook nach hause zu nehmen.

Ich denke die haben sich dabei schon was gedacht.
 
Wenn der Tunnel steht ist RDP ja auch nicht verwerflich.

Was moralisch verwerflich ist, ist das man das RDP aufziehen moechte von einem Ferienhaus. Also von einem Standort der nicht erwartet ist fuer den "Fall".

Anyway.
Alles Dein Ding. @derocco
 
  • Gefällt mir
Reaktionen: nutrix
derocco schrieb:
Schön dass alle Moralapostel spielen wollen hier.
Zum Vergrößern anklicken....
Das hast nichts damit zu tun, sondern mit Deinem Unverständnis bzgl. IT-Sicherheit!
derocco schrieb:
Es geht aber um eine technische frage.
Zum Vergrößern anklicken....
Nein, Du hebelst IT-Sicherheit aus, das ist eine ganz zentrale Frage.
derocco schrieb:
Warum sollte ich mehr Hardware hier rumstehen haben? für mich ist es optimal so. Ich habe hier 3 Screens etc. den firmen NB würde ich eh nur in der ecke mit einem dock verbinden müssen etc.
Zum Vergrößern anklicken....
Ja, und das hat auch einen Grund, auch wenn Du den egoistisch nicht einsehen magst. Zum einen bestimmt hier Deine Firma die Sicherheitsrichtlinen, Updates usw. Und üblicherweise erfahren sie auch damit eine gewisse Härtung und Sicherung.
derocco schrieb:
Bring your own device ist in vielen Firmen schon lange akzeptiert und gewünscht.
Zum Vergrößern anklicken....
Da bist Du lange nicht mehr auf einem aktuellen Stand, oder bist nur in wirklich kleinen unwichtigen Firmen unterwegs. Ich darf und durfte seit über 20 Jahren NIRGENDWO irgendwo mal ein Gerät privat mal reinhängen. Da sind heute alle Firmen sehr sehr pingeling und genau. Es gibt technischen Möglichkeiten und Ausnahmen, aber die entscheidet nicht der MA eigenmächtig und schon gar nicht ohne Zustimmung des AGs.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: snakesh1t und BFF
@derocco PC hinstellen, per Parsec/Teamviewer/Anydesk, wie jeder gute indische Scammer, rein und von da ins VPN und ins RDP.

Latenz ist Grütze, Sicherheit ist Grütze, dein Wille dich an die Absprachen zu halten auch, passt also.
 
Zuletzt bearbeitet:
@RedPanda05 latenz bei fiber to fiber quasi zu vernachlässigen.
Ich seh das "Sicherheitsproblem" durchaus. Wie gesagt ich habe mich auch gewundert, dass das so zulässig ist. aber wie gesagt da arbeitet jeder zweite im Homeoffice so. Solange wir alle im Inland sind ist es kein issue. Die security schlägt alarm wenn plötzlich wer aus dem Ausland sich einwählt.

Ich kann nicht sagen wie das im Hintergrund gestrickt ist aber irgendwas werden die sich schon überlegt haben und rennen nicht lachend in die Kreissäge. Ich bin kein Security experte, aber die Abteilung vermittelt durchaus den Eindruck, dass sie sehr genau wissen was sie machen.
So unbedeutend kann eine IT Firma mit rund 1500 lokalen Ressourcen nicht sein.
 
Hier gibt es keinen Support, wie man seinen AG an der Nase herumführt. Ende der Diskussion.
 
  • Gefällt mir
Reaktionen: nutrix
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

C
Smarthome: Fragen zur Topologie und Kaufberatung
Antworten
3
Aufrufe
489
Carlos_ring
C
belal.karimzai
VoIP-Abbrüche trotz stabiler Netzwerk-Infrastruktur (Feedback für Verkabelung/Topologie)
2
Antworten
23
Aufrufe
978
norKoeri
N
D
Topologie mit Fritzbox + zwei Switch
Antworten
8
Aufrufe
910
djflyingmayday
D
Nero Atreides
1 GBE und 10 GBE parallel - Topologie?
Antworten
17
Aufrufe
1.963
Nero Atreides
Nero Atreides
E
TP-Link Omada Topologie-Erkennung falsch
Antworten
2
Aufrufe
2.154
Ecronika
E
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz