10
OpenVPN Zertifikat pro User oder Allgemein
Hallo zusammen
Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen OpenVPN auf unserer PFSense ein. Authentifiziert wird über Radius am AD. Funktioniert auch alles soweit so gut.
Jetzt eine Grundsatzfrage bei OpenVPN.
Das Clientseitige Zertifikat. Erstellt ihr für jeden User ein eigenes, oder erstellt ihr ein Allgemeines und regelt die Zugriffe über die Benutzerdaten?
Sicherheitstechnisch wäre es klar besser pro User, aber ich frage mich ob sich der Aufwand lohnt?
Vielen Dank für euer Input!
Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen OpenVPN auf unserer PFSense ein. Authentifiziert wird über Radius am AD. Funktioniert auch alles soweit so gut.
Jetzt eine Grundsatzfrage bei OpenVPN.
Das Clientseitige Zertifikat. Erstellt ihr für jeden User ein eigenes, oder erstellt ihr ein Allgemeines und regelt die Zugriffe über die Benutzerdaten?
Sicherheitstechnisch wäre es klar besser pro User, aber ich frage mich ob sich der Aufwand lohnt?
Vielen Dank für euer Input!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297367
Url: https://administrator.de/contentid/297367
Printed on: April 18, 2024 at 12:04 o'clock
10 Comments
Latest comment
Hi,
ganz klar für jeden Benutzer ein eigenes Zertifikat.
Die AD-Benutzer haben doch meist ein Passwort aller TestTest, qwertz o.ä.
Z.B. ausgeschiedene MA kennen häufig den Benutzernamen und auch das Passwort ihrer direkten Kollegen.
(Bin im Urlaub, aber kannst mal gucken, ob was kam - Passwort ist ...)
greetz
Ravers
ganz klar für jeden Benutzer ein eigenes Zertifikat.
Die AD-Benutzer haben doch meist ein Passwort aller TestTest, qwertz o.ä.
Z.B. ausgeschiedene MA kennen häufig den Benutzernamen und auch das Passwort ihrer direkten Kollegen.
(Bin im Urlaub, aber kannst mal gucken, ob was kam - Passwort ist ...)
greetz
Ravers
dumme Frage: gibt es für OpenVPN im Verbund mit PfSense eigentlich eine 2 Faktor Authentifizierung?
Naja die Antwort hast du dir bereits selbst gegeben. Sicherheitstechnisch fährst du mit einem persönlichen Zertifikat am Besten. Der Verwaltungsaufwand ist vielleicht am Höchsten, aber Sicherheit ist in der IT das A und O.
Gruß, Andi
Gruß, Andi
Das hängt ja auch von deinen Leuten ab. Persönliche Zertifikate lohnen natürlich nur dann wenn die Leute die auch persönlich halten. Wenn die den Rechner eh direkt an die Kollegen geben oder ggf. die Mail mit dem zertifikat einfach weiterleiten um dafür zu sorgen das Kollege X im Urlaub auch mal eben Zugriff haben kann bringt das an der Stelle wenig. Einen großen Vorteil hast du dennoch wenn Kollege X mal wieder kleinlaut am Schreibtisch steht und beichtet das er das Laptop/das Telefon/den USB-Stick mit den Daten verloren hat. Dann brauchst du nicht _allen_ Kollegen ein neues Zertifikat geben. Grade die Kollegen die in dem Moment unterwegs sind werden sich freuen weil hier das Henne-Ei-Problem entsteht (ich brauche das neue Zertifikat um an das VPN zu kommen. Das Zertifikat liegt aber auf einem Server für den ich VPN benötige...)
Ist halt immer die Frage wie weit du gehen willst und was deine Leute mitmachen...
Ist halt immer die Frage wie weit du gehen willst und was deine Leute mitmachen...
Pro User eins... Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Guten Morgen
Vielen Dank für die Antworten werde dann pro User Zertifikate verteilen
Vielen Dank für die Antworten werde dann pro User Zertifikate verteilen
Der tiefere Sinn dahinter ist das wenn ein User sein Zertifikat vergisst oder verliert oder was auch immer, du das dann per User entfernen kannst.
Bei einem globalen musst du es für alle User ändern wenn nur einer mal ein Fehler macht.
Von der Sicherheit jetzt noch gar nicht mal geredet....
Bei einem globalen musst du es für alle User ändern wenn nur einer mal ein Fehler macht.
Von der Sicherheit jetzt noch gar nicht mal geredet....
Inwiefern kann man ein Zertifikat verlieren oder vergessen?? Du meinst wenn man von fremden Computern connected?
z.B. der User hat das Zertifikat zusätzlich auf einem nicht verschlüsselten USB-Stick gespeichert. Möglichkeiten gibt es viele.
Inwiefern kann man ein Zertifikat verlieren oder vergessen??
Wenn der Rechner oder das Smartphone z.B. geklaut wird oder der Mitarbeiter das Unternehmen verlässt oder USB Stick (siehe oben) oder....Hast du einen statischen Key (PSK) ist dein gesmates WLAN kompromitiert...so nur ein User.
