Damit eine Standortvernetzung via Internet-VPN sicher werden kann, müssen alle verwendeten Router so konfiguriert werden, dass diese ausschließlich Verkehr innerhalb des Tunnels transportieren. Im ganzen Routernetzwerk/WAN fließen also ausschließlich verschlüsselte Daten in VPN-Tunneln. Konfiguriert man auch nur einen der Router so, dass auch Vehrkehr ins/aus dem Internet zulässig ist (man nennt das „Split Tunnel“), verbinden Sie Ihr komplettes Netzwerk OHNE Firewallschutz mit dem Internet. Ein Router kann niemals eine Firewall ersetzen, da die Gerätschaften weder eine eingebaute Festplatte haben, noch (schon wegen ihrer mangelnden Rechenleistung) über aktive und managebare Mechanismen verfügen können, wie dies eine Firewall hat. und hinter jeden Filialrouter eine Firewall zu installieren ist nicht nur aufwändig und teuer, sondern widerspricht dem dezentralen Konzept. Auch ist es meist technisch unmöglich, solche Filialfirewalls in das VPN einzubinden (denn der verschlüsselte Tunnel endet ja unverschlüsselt vor einer solchen Firewall, was wiederum bedeutet, dass Ihre Unternehmensdaten im vpn nicht mehr sicher wären. Also besteht die einzige Möglichkeit, Grundsicherheit zu erreichen, indem man die Hauptstelle mit einem zeiten Internetzugang ausstattet und diese Leitung über eine Firewall mit dem LAN verbindet. Die PCs in den Zweigstellen nutzen dann das Internet, indem sie unter Remote Desktopservices oder Citrix arbeiten. Die generelle Verwendung von Remote Desktop/Citrix hat als weiteren Vorteil, dass die Angriffsfläche von Trojanern, die zB Lücken im Browser nutzen, auf wenige Systeme beschränkt wird und die Citrix-Farm eine hohe Verfügbarkeit bietet. (Post ID:693)
Kommentare