VPN

 ( Atis1 | 2011. április 20., szerda - 12:23 )

Üdv,

Egy érdekes kérdésben kérnék egí kis segítséget.
Szeretnénk egy VPN-t kiépíteni. Lehetőség szerint windows alapút. Egy olyan terméket keresek ami csak bizonyos eszközökről engedélyezi a VPN kapcsolatot.

pl: Van több laptop. Ezeknek valami azonosítóját berögzitve bejöhetnek VPN-en. De ha lemegy mondjuk az illető egy net kávézóban akkor hiába ismeri a jelszót és a beállítást, a hardveres azonosítás miat tnem fog menni.

Hordozható eszköz nem jöhet szóba, mert úgye azt használhatja mind a két helyen.
Tokent is néztem, de az csak a jelszó vissza fejthetetlenségét "garantálja", de mivel a kulcs hordozható ezért bárhonnan be tud lépni vele.

Látot már valaki esetleg ilyen megoldást?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

hat o"o"o": egy barmilyen mezei tuzfalon csak azokat az ip:port kombinaciokat engedelyezed, ahonnan be tudnak lepni a juzerek a vpn-be.

Certificate alapú authentikáció nem lenne jó, feltételezve, hogy a felhasználó nem rendelkezik admin jogokkal certificate telepítésére.

Vagy valami NAC megoldást kellene megnézni, ez esetben sikeres lehet a VPN kapcsolat, de kikerül a user egy karantén hálóba.

Cs.

Hazaviszi a lapitopit, kap dinamikus ip-t. Vagy még jobbat mondok: mobilnetre cuppan fel...

ja, de akkor igy szinte sehogy nem lehet megkulonboztetni:
- hazamegy a laptoppal, bedugja, kap a mata'vtol mint szolgaltatotol egy dinamikus adsl-es ip-cimet, oszt internet.
- bemegy a netkavezoba, ahol van publikus net, amit a mata'vtol vesznek, szinten dinamikus adsl-es ip-cimeken, oszt internet.

... ugyanabban a ha'zto"mbben ;]

raadasul mindke't helyen egy kis router osztja le a netet. tehat ha valahogy (esetleg, nagyon szofisztikaltan es peer-oldalon kvazi ellenorizhetetlenul, de megicsak) meg tudja allapitani hogy nat mo"gu"l jon-e vagy sem, akkor se me'rne vele semmit, mert manapsag a gyakorlatban mindke't fenti konfig nat mo"gu"l jo"n.

Windows Server 2008 R2 - NPS/NAP. Elég sok mindent lehet rajta szűrni, kliens oldali dolgokat is NAP-pal, talán az kell neked. De szerver oldalon is elég sok minden van, ha pl. netkávézót akarsz kiszűrni, akkor IP whitelist. Nem tudok bővebbet mondani, mert én csak most ismerkedek vele, de azt látom, hogy rengeteg benne a lehetőség. Olyan szinten lehet szűrni, hogy pl. nem engeded be, ha nincs minden update telepítve a gépre. Mondjuk ezekhez a kliens oldali szűrésekhez kliens támogatás is kell, tehát nem árt, ha csak Win7-ek a kliensek is.

http://technet.microsoft.com/en-us/library/cc754107%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/dd182017.aspx

--
joco voltam szevasz

A cél az lenne, hogy egy adott laptop be tudjon jelentkezni vagy sem. Most kaptam egy fülest, hogy VPN sertifikate alkalmas lehet erre a célra. Hiszen csak az adott gépen fut.

Ha van még valakinek ötlete ne kiméljen, hátha :)

A certet is lehet hurcolni (két darab fájlocska). Bár ha pölö openvpn-t pakolsz föl a kliensekre, akkor pölö. netkávézóból nem fog vpn-ezni - merthogy ott esélyes, hogy nincs ovpn felrakva.

Ez így nem igaz.

Azt tudod csinálni, hogy betolod a tanusítványt a privát kulccsal a Local Computer keystore-ba, de úgy hogy a privát kulcs ne legyen exportálható. Ettől a ponttól nem tudja kiimádkozni onnan a privát kulcsot és így csak arról a gépről lehet belépni.

Persze ennek az a feltétele, hogy a machine cert-et ne add oda neki, pontosabban annak a privát kulcsát.

Erről nem tudtam...

Elvileg ha domain user és nem rendszergazda, akkor ugy tudom, hogy nem tudja exportálni a kulcsot. Vagy igen?

Az attól függ, hogy hol van a kulcs.

Ha a "Local System"-ben van a kulcs, akkor sima domain userrel nemcsak, hogy a kulcsot nem tudja kiexportálni, hanem még a tanusítványhoz sem fér hozzá.

Ha a kulcs + a tanusítvány páros a "Current User"-ben van és ha ki van pipálva az az opció, hogy exportálható legyen a kulcs akkor hozzáfér (tudja exportálni) ha nincs; akkor a kulcsot a tanusítványtárból az életbe ki nem szedi.

A nem exportálható opció él a Local System esetén is...

hm, ha beteszük Local Systembe, attól még a rendszer fogja tudni használni nem? Ez így jó megoldás lehet szerintem. A user úgy sem kap admin jogot. Köszönöm a segítséget előre is.

Igen ez így van.
Csak arra kell figyelni, hogy a legtöbb esetben a vpn kliens userként fut nem pedig systemként.

LEhet buta kérdés, de ezt, hogyan lehet beállítani?

Local computer tárolóban is lehet a kulcsra hozzáférést adni bármilyen felhasználónak.

--
joco voltam szevasz

az lenne a lényeg, hogy ne férjen hozzá a kulcshoz.

+1. Érdemes a NAC-ra is guglizni, van sok jó (meg kevésbé jó, de azért annyira nem rossz, illetve akad egyből háromszor (először, utóljára, és soha többé)) megoldás.

Off
miatt, látott
/Off

ezt máshol ozd okos tojás. Nem tetszik az írásom ne nézz rá. Szakmai segítségért fordultam ide és nem helyesírásért. Bocs, abbol nem lehet megélni.

/off
ozs = oszd
okos tojás = okostojás
abbol = abból
/on

még egy elme bajnok... Inkább a problémában segíts.

A bunkó reagálásoddal nagyjából azt éred el, hogy az értelmesebbek trollszűrőbe raknak, vagy nélküle, de ignorálni fognak. Hozzáteszem, hogy jogosan.

Már bocs, de nem érzem bunkoságnak amit írtam. Feljövők ide és normális formában probálok segítséget kérni, mert szükségem lenne egy megoldásra, és akkor van aki ossza az észt a helyett, hogy segítene.
Úgy gondolom ez egy számítástechnikai forum. Ha valaki a helyesírással akar foglalkozni az menjen máshova. Ha nem tudok értelmessen hozzászolni egy témához, akkor minek írok bele? CSak, hogy megmutasam mekora spiler vagyok? Bocs, de jelen esetben nem segít.

Imho ez a eljárás vár a nyelvtannácikra is, akik érdemi segítség nélkül csak offolgatnak.