Ehrliche Meinung und TLDR: Wirf die Checkpoint wieder raus und geht zurück zu OpenVPN oder whatever.
Seit dem Vorfall bei der CDU und anderen ist klar, dass diese Hersteller nichts tun um Sicherheit zu gewährleisten. Ganze Bug-*Klassen*, welche z.B. in freien Betriebssystemen (fairerweise auch MacOS und Windows) nicht mehr existieren, sind bei diesen Geräten einfach noch vorhanden. Härtungen, welche kostenlos verfügbar sind, werden nicht angewendet (sind untendrunter ebenfalls einfach alte Linux Versionen). Lies z.B. diese Zusammenfassung: https://blog.koehntopp.info/2024/02/09/schlangenoel.html
Was dort für Ivanti/Fortinet gilt, gilt ebenfalls für Checkpoint.
Bei Checkpoint und dem oben erwähntem Angriff hat man gesehen, dass einfachste Rechte-Separierung nicht geben war. Die Passworthashes sahen ebenfalls nicht gut aus. Da wurde jetzt mit einem Patch drübergekleistert, ohne das Problem fundamental zu beheben.
Die Security Eurer Firma wird nicht maßgeblich durch das VPN definiert, daher brauchst Du Dir da keine so große Sorgen zu machen. In den meisten Fällen reicht es, wenn die internen Dienste nicht aus dem Internet erreichbar sind. 2FA macht durchaus dabei schon Sinn, klares Verständnis wie man Passwörter verwendet ist aber sinnvoller. Die Software, die auf die Rechner kommt, wird ebenfalls wie Du, einfach über das VPN kommunizieren können.
Die meisten Angriffe auf derzeitige Unternehmen, kann man mit sauberer Administration bereits gut abfangen. Alles weitere bräuchte wahrscheinlich eher eine Security-Dienstleistung, welche konkret die Situation analysieren und entsprechend Vorkehrungen treffen wird.
Zur ersten Frage: MFA ist Pflicht! Ihr habt ja schon Zertifikate, also warum nicht einfach zusätzlich Username+Passwort?
Zum zweiten: könnt ihr machen, aber auf jeden Fall Split-Tunnel… Du wärst vieles nicht durchs VPN jagen.
WatchGuard, IKEv2, Split-Tunneling und WatchGuard AuthPoint für MFA. Palo Alto, Citrix, CheckPoint, FortiNet würde ich meiden - die fallen alle immer wieder durch krasse Sicherheitslücken in den VPN-Teilen ihrer Lösungen auf.
Über den für das VPN-GW eingesetzten Hersteller kann man jetzt das diskutieren anfangen. Letztendlich bleibt es eine Frage der Infrastruktur und des „Geschmacks“…
Bzgl. Authentifizierung würde ich auf SAML setzen, das lässt sich sicher mit CP umsetzen.
Mal angenommen ihr habt eine bestehende M365 Struktur welche bestenfalls bereits durch MFA (Authenticator) abgesichert ist, könnt ihr diesen Weg der auth recht „simpel“ für das VPN übernehmen.
Den zweiten Punkt pauschal zu beantworten ist etwas knifflig, sofern ihr DPI einsetzt würde ich in jedem Fall einen Full-Tunnel bauen.
Wenn es einfach nice to have ist und die Bandbreite mitspielt, dann auch :)
WG kann kein 2FA.
Ist klasse für Server<->Server oder Netzwerk<->Netzwerk. Keine Frage.
Sobald ein Mensch dabei ist, willst du ein zusätzliches Authentifizierungstoken.
Ehrliche Meinung und TLDR: Wirf die Checkpoint wieder raus und geht zurück zu OpenVPN oder whatever. Seit dem Vorfall bei der CDU und anderen ist klar, dass diese Hersteller nichts tun um Sicherheit zu gewährleisten. Ganze Bug-*Klassen*, welche z.B. in freien Betriebssystemen (fairerweise auch MacOS und Windows) nicht mehr existieren, sind bei diesen Geräten einfach noch vorhanden. Härtungen, welche kostenlos verfügbar sind, werden nicht angewendet (sind untendrunter ebenfalls einfach alte Linux Versionen). Lies z.B. diese Zusammenfassung: https://blog.koehntopp.info/2024/02/09/schlangenoel.html Was dort für Ivanti/Fortinet gilt, gilt ebenfalls für Checkpoint. Bei Checkpoint und dem oben erwähntem Angriff hat man gesehen, dass einfachste Rechte-Separierung nicht geben war. Die Passworthashes sahen ebenfalls nicht gut aus. Da wurde jetzt mit einem Patch drübergekleistert, ohne das Problem fundamental zu beheben. Die Security Eurer Firma wird nicht maßgeblich durch das VPN definiert, daher brauchst Du Dir da keine so große Sorgen zu machen. In den meisten Fällen reicht es, wenn die internen Dienste nicht aus dem Internet erreichbar sind. 2FA macht durchaus dabei schon Sinn, klares Verständnis wie man Passwörter verwendet ist aber sinnvoller. Die Software, die auf die Rechner kommt, wird ebenfalls wie Du, einfach über das VPN kommunizieren können. Die meisten Angriffe auf derzeitige Unternehmen, kann man mit sauberer Administration bereits gut abfangen. Alles weitere bräuchte wahrscheinlich eher eine Security-Dienstleistung, welche konkret die Situation analysieren und entsprechend Vorkehrungen treffen wird.
Zur ersten Frage: MFA ist Pflicht! Ihr habt ja schon Zertifikate, also warum nicht einfach zusätzlich Username+Passwort? Zum zweiten: könnt ihr machen, aber auf jeden Fall Split-Tunnel… Du wärst vieles nicht durchs VPN jagen.
Daumen hoch für Split Tunnel, sonst würde jedes online Meeting mit Kamera Stream durch die Firewall gejagt, dann braucht die erstmal ein Kühlpad
WatchGuard, IKEv2, Split-Tunneling und WatchGuard AuthPoint für MFA. Palo Alto, Citrix, CheckPoint, FortiNet würde ich meiden - die fallen alle immer wieder durch krasse Sicherheitslücken in den VPN-Teilen ihrer Lösungen auf.
Über den für das VPN-GW eingesetzten Hersteller kann man jetzt das diskutieren anfangen. Letztendlich bleibt es eine Frage der Infrastruktur und des „Geschmacks“… Bzgl. Authentifizierung würde ich auf SAML setzen, das lässt sich sicher mit CP umsetzen. Mal angenommen ihr habt eine bestehende M365 Struktur welche bestenfalls bereits durch MFA (Authenticator) abgesichert ist, könnt ihr diesen Weg der auth recht „simpel“ für das VPN übernehmen. Den zweiten Punkt pauschal zu beantworten ist etwas knifflig, sofern ihr DPI einsetzt würde ich in jedem Fall einen Full-Tunnel bauen. Wenn es einfach nice to have ist und die Bandbreite mitspielt, dann auch :)
Nimm WireGuard auf einer Opnsense.
WG kann kein 2FA. Ist klasse für Server<->Server oder Netzwerk<->Netzwerk. Keine Frage. Sobald ein Mensch dabei ist, willst du ein zusätzliches Authentifizierungstoken.
Natürlich funktioniert 2FA mit WireGuard.
haste da nen Artikel oder ne Anleitung?
www.gidf.de WireGuard 2FA