AhabDE
Wohlschmecker aus Vierlanden
- Registriert
- 23.10.04
- Beiträge
- 239
jensche schrieb:Kann mir das mal erklären, was da genau gemacht werden muss (aufwände). und wie es mit der Lösung ist.....(einrichten meinerseits, Sicherheit, Zugriff auf was von aussen möglich ....)
1. 1000-2000 Fr ist wohl der reine Arbeitsaufwand des Admins, der hier wohl mit 1-2 Tagen Einsatz kalkuliert wird, bis die Lösung läuft. Je nach Lösung/Arbeitsaufwand/Test kann das gut sein.
2. Da du zuhause eine dynamische IP des WAN hast, ist es ja nach verwendeter Firmen-FW (?) aufwändiger, als wenn du eine feste, gleichbelibende WAN-IP hättest.
Der "Mehr"-Aufwand richtet sich sehr nach dem verwendeten FW-Produkt der Firma, z.B. FW kann nur statische Regeln benutzen oder auch dynamische, welche "Dienste" sind momentan überhaupt (über einen Proxy?) erlaubt, etc.
Da wir die Firmenlage nicht kennen, ist das erstmal Spekulation. Je "statischer" die FW ist, desto aufwändiger, bishin zu fast unmöglich ohne grosse Sicherheitslöcher aufzureissen.
3. Du brauchst prinzipiell zwei FW-Regel für die Firmen-FW:
3a. eine outgoing Regel, die von der festen IP des Firmen-PB einen Zugang über die Firmen-FW/Proxy auf die dynamische IP deines Homerouters auf die VNC-Ports erlaubt. Problem hier: deine dynamische IP, die ja immer als "Aktuelle" in die FW eingsetzt werden müsste. Das geht, ja nach FW und Aufwand, wird aber sicher keine Firma als vertretbar empfinden.
3b. eine incoming Regel, die prinziell die "Rück-Antwort" deines Homerouters über die Firmen-FW an deinen Arbeitsplatz erlaubt. Das ist je nach eingesetzter FW beliebig aufwändig, in der Regel aber weniger Aufwand als die Outgoing-Regel. Eine einfache Implementierung für 3b könnte sein: - erlaube alle "Rück-Antworten" prinzipiell, die authorisiert (mit Regel 3a) aus dem Firmen-Lan einmal erfolgreich initiiert worden sind. Regel 3b öffnet zwar die FW und ist somit natürlich ein (aber sehr kalkulierbares) Sicherheitsrisiko. Das Risiko lässt sich durch weitere incoming-Regeln sehr weit einschränken (für alle erlaubten eingehenden Pakete, nicht nur für dein Problem). Wie gesagt, die richtige Implementierung bedarf Kenntnis der Firmen-FW, deren Regelsetzung und genaue Planung deiner Lösung. Technisch machbar, aber Zeit/Arbeitsaufwand - letztlich wird dann nach Kosten/Nutzen/Risiko entschieden werden. Das grösste "Problem" wird hier deine dynamische WAN-IP zuhause sein bzw diesen Part sicherheitstechnisch einzugrenzen wird der grösste Aufwand sein.
Ist jetzt mal technisch einfach und theoretisch gesprochen, aber alles andere würde jetzt wesentlich mehr technische Kenntnis eures Firmennetzes/FW/Proxy verlangen.