Beste,
Mijn volgende vraag is:
Wat wanneer een personeelslid van thuis uit via vpn connectie op het ocmw netwerk kan ? vb vpn connectie voor ontvanger.
Wat zijn de aandachtspunten naar beveiliging toe ?
dank en groeten
jacques
| Auteur | Bericht |
|---|---|
|
|
|
|
Eén van de dingen die me altijd opvallen als ik bij een organisatie een vpn-setup controleer is dat men quasi nooit beperkingen op firewall-niveau invoert naar wat deze vpn-gebruikers op het interne netwerk kunnen. Dit is qua configuratie het makkelijkste (alles zal immers out-of-the-box werken)maar qua veiligheid is dit een gigantisch risico.
Zo kan je op firewall-niveau perfect regels invoeren dat een telewerker bv enkel aan de e-mail (tcp/110, tcp/143, tcp/983 en tcp/25) en de fileserver (tcp/138) kan en niks meer. Wanneer de vpn-verbinding dan op één of andere manier misbruikt wordt, is de schade immers ook een stuk kleiner. Daarom raad ik iedereen aan het toegelaten netwerkverkeer bij een inkomende vpn-verbinding (net als elk ander verkeer dat door een firewall passeert) tot het absolute noodzakelijke te beperken en elk ander netwerkverkeer te blokkeren. Het gaat wat meer moeite kosten om de boel te configureren maar alles gaat een stuk veiliger zijn. De perfecte manier om dit te testen is door via een VPN-verbinding in te loggen en vanop de remote machine Nmap (http://www.nmap.org) te gebruiken om de hele range af te scannen. Nmap zal je dan perfect vertellen wat er allemaal nog openstaat. Als consultant doe ik dit quasi alle dagen :wink: Jan Guldentops BA N.V. -------------------------------------- Jan Guldentops ( j@ba.be ) |
|
|
|
|
Omtrent dit onderwerp hebben we vanuit de werkgroep security een nota klaargemaakt (versie 1). Deze nota is wellicht nuttig voor degene die vpn en thuiswerken in overweging nemen.
|
|
|