Hallo Zusammen!

Ich benötige mal eine kleine Einschätzung.

In meinem Unternehmen wurde vor Kurzen ein VPN- Zugriff eingerichtet.

Die User landen IP-technisch in der DMZ.

Das genügt soweit auch erstmal, allerdings sollen die Benutzer auch Zugriff auf die Netzlaufwerke im internen LAN haben.

Also hab ich auf der Firewall zwischen LAN und DMZ im Grunde die selben Berechtigungen wie zwischen LAN und Internet eingestellt. Nur halt zusätzlich, dass aus der DMZ der SMB-Port im LAN angesprochen werden darf.

Habt Ihr das Bedenken oder kann man das so lassen?

Grüße,

Marcus

Du musst halt damit rechnen, dass sich unbefugte Zugriff in die DMZ verschaffen. Ist es dann schlimm, wenn dieser Bösewicht auf die Daten von euren Netzlaufwerken zugreifen kann?

Wie gross das Sicherheitsrisiko ist sich via SMB weiterzuhacken ins LAN weiss ich nicht. Aber eine weitere Idee könnte sein eine fiese Datei auf den Share zu legen/tauschen, die beim ausführen vom LAN (z.B. durch einen admin) weitere Möglichkeiten eröffnet.

Auf der anderen Seite ist die Frage was du mit deinem VPN erreichen willst, wenn nicht Zugriff ins Firmen-LAN?

Auf der anderen Seite ist die Frage was du mit deinem VPN erreichen willst, wenn nicht Zugriff ins Firmen-LAN?

Eben. Leider ist es mir aus technischen Gründen momentan nicht möglich, die VPN User in einen eigenen Netzbereich oder in einen Teilbereich des LANs "fallen zu lassen".

Und da der Zugriff DMZ -> LAN genau so abgeschottet ist wie Internet -> LAN (bis auf den Unterschied, dass man aus der DMZ auch SMB erreicht), halte ich das noch für relativ unbedenklich.

Es wäre allerdings fatal, wenn ein Eindringling in die DMZ geraten würde und eine Verbindung zu einem Netzlaufwerk (auch nur mit entsprechenden Domänenrechten erlaubt) herstellt. Von daher wollte ich gerne mal andere Meinung dazu hören.