Zum Inhalt springen

Zertifikatsgestützte VPN-Einwahl? Wie realisieren?


Empfohlene Beiträge

Geschrieben

Hallo!

Unsere Firma hat wohl demnächst ein größeres VPN-Projekt bei nem Neukunden am Laufen... daher sind meine Kollegen und ich jetzt schon am rumtesten...

Folgendes Szenario ist gegeben:

- Windows 2003 Server

- VPN-Einwahl über Zertifikate für Außendienstmitarbeiter usw.

Wir sind schon mal soweit... das eine normale VPN-Einwahl über den Windows 2003 Server funktioniert.

Nun stehen wir vor folgender Problematik:

Die Außendienstmitarbeiter sind in ganz Deutschland ansässig und sollen sich auf den Server einwählen. Welche Möglichkeiten gibt es um die Zertifikate bereitzustellen? Kann man die Zertifikate runterladen und per Email / CD verschicken und die Leute installieren sich die Zertifikate selber? Meine Kollegen und ich haben auf dem Gebiet keinerlei Erfahrungen... vielleicht könnt ihr uns weiterhelfen.

Geschrieben

Habt ihr Euch denn schon Gedanken gemacht, wo Ihr die Zertifikate her nehmt und wer die (nachher) pflegt ?

Und wenn Ihr die Zertifikate per unverschlüsselter Email versendet könnt Ihr es eigentlich auch gleich sein lassen...

Geschrieben

Soweit ich gelesen habe, kann der W2003 Standard Server die Zertifikate als Zertifizierungsstelle bereitstellen (bitte berichtigt mich, wenn ich mich da täusche). Wie die Zertifikate zu die Mitarbeiter kommen... da arbeiten wir noch an einer Lösung... das ist uns selber noch nicht so ganz klar.

Geschrieben (bearbeitet)

Du musst auch daran denken, dass Zertifikate ablaufen und erneuert werden muessen.

Gerade wenn viele Aussendienst-Mitarbeiter betroffen sind, die nur sehr selten bei Dir vor Ort erscheinen, wuerde ich es mir 2x ueberlegen ob es das Windows VPN-IPsec mit Zertifikaten einer internen Zertifizierungsstelle sein muss oder nicht auch andere Loesungen besser geeignet sind.

Denn hier kommt die faellige, manuelle Erneuerung der Zertifikate garantiert immer zu einem unpassenden Zeitpunkt.

Das u.a. bei Windows genutzte VPN-IPsec (genauer das ESP-Protokoll) ist auch ein Kandidat, dass - ohne Einsatz von NAT-Traversal- Probleme mit einigen NAT-Routern hat.

Denn ESP besteht darauf, dass ESP-Pakete unveraendert durchgelassen werden.

Wenn Zertifikate, dann wuerde ich aus der Kosten-/Nutzensicht eher auf eine TLS/SSL basierende VPN-Variante setzen.

Z.B. als kostenlose Loesung: OpenVPN

oder als kostenpflichtige Loesungen: eine MS ISA Server Appliance mit dem IAG oder das Citrix Access Gateway.

Denn Du brauchst bei IPsec immer mehrere Ports (mit NAT-Traversal) bzw. mehrere Ports und Protokolle (ohne NAT-Traversal), die durchgelassen werden muessen.

Bei den TLS/SSL-Varianten ist es nur ein Port, der ggfl. auch auf den HTTPS-Port 443 gelegt werden kann. HTTPS wird idR von allen Routern und Firewalls ohne Probleme durchgelassen.

Bearbeitet von hades
Geschrieben

Full ACK, hades.

Das war es auch, worauf ich hinauswollte. Ihr seht das im Moment noch sehr technisch, aber an dem ganzen Zertifikatskram hängen eben normalerweise Prozesse. Beispiel:

- Wer stellt später Zertifikate für neue Mitarbeiter/Rechner aus ?

- Wer erneuert abgelaufene Zertifikate ?

- Wer sperrt Zertifikate wenn Mitarbeiter ausscheiden oder Rechner gestohlen werden ?

- Wer ist vertrauenswürdig genug, um die Zertifizierungsinstanz überhaupt zu betreuen ?

Ich persönlich würde auch OpenVPN vorziehen. Gerade mit den ganzen schrägen Home-Routern und Hotspots, mit denen der Aussendienst so in Kontakt kommt kann IPSec schnell ein K®ampf werden.

Geschrieben

Hallo ihr beiden,

also um den Zertifikatskram müssen wir uns kümmern! In welchem Abstand müssen die Zertifikate erneuert werden? Des kann man doch sicherlich bestimmen... ich denke ein jährliches Zertifikat würde uns schon langen! Und ansonsten... aber gut... ich werde mir mal des OpenVPN anschauen.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...