Hallo Vinzenz,

Die von Dir verwendete VPN-Software beherrscht Split-Tunneling, steht zumindest
im Datenblatt (siehe Dein eigener Link). Ich kann jedoch verstehen, wenn dieser
Modus gemäß den VPN-Sicherheitsrichtlinien Deines Auftraggebers deaktiviert ist.

Ich halte diese Sicherheitsargumente für Augenwischerei. Diese Angriffe gehen nämlich davon aus, dass entweder die Software auf dem Rechner nicht vertrauenswürdig ist (d.h. Malware darauf ist oder Software mit Sicherheitslücken, über die man Malware einschleusen kann) oder der Benutzer vor dem Rechner nicht vertrauenswürdig ist und somit irgend etwas explizit öffnet. Und zu "Sicherheitslücken" zähle ich auch aktiviertes IP Forwarding - das braucht man auf einem Client nämlich grundsätzlich nicht.

Klar, ein "Live-Zugriff" wird durch Abschottungsmaßnahmen verhindert, aber wenn der Benutzer nicht vertrauenswürdig ist, dann hat man sowieso verloren und wenn auf dem Rechner auf irgend eine Weise Malware gelangen kann, dann kann diese z.B. auch VPN-Zugangsdaten ausspähen oder andere lustige Dinge machen, die es zwar einem Angreifer leicht erschweren, irgend etwas zu tun, aber eine wirklich große Hürde ist das nun auch wieder nicht (eine fernsteuerbare Malware könnte sich ja über die Internetverbindung [1] innerhalb des VPN mit einem IRC-Channel verbinden und dort auf Befehle warten).

Viele Grüße,
Christian

[1] Die ja zumindest in diesem Fall zweifelsohne vorhanden ist. HTTP-Proxies machen die Aufgabe lediglich etwas schwieriger, nicht unmöglich, zudem kann man auch über DNS tunneln, was in internen Netzen oft direkt aktiviert ist, selbst wenn da ein Proxy dazwischen ist etc.

hallo Vinzenz,

Du hast das sicherlich auch schon im entsprechenden Abschnitt des Wikipedia-Artikels zu VPN nachgelesen.

Habe ich natürlich, ja. Nur habe ich dem Artikel nicht wirklich vertraut. Es ist nämlich problemlos möglich, mein lokales Netz trotzdem zu benutzen - wenn der zweite Rechner Linux fährt. Dann kriege ich den sogar über Samba in der "Netzwerkumgebung" zu sehen, und der zweite (Linux-)Rechner erhält durchaus alles, was ihm mein auf dem ersten Rechner laufender lokaler Apache bereitstellt. Allerdings habe ich da dann eben nicht den IE6 zur Verfügung. Wenn ich auf der Linux-Kiste jetzt noch VMWare installiere und in VMWare erneut ein WinXP, habe ich mit diesem WinXP genau dieselben Zugriffsprobleme wie bei einer "echten" Windows-Installation.

Nun geht SAMBA über ein anderes Protokoll, aber mein lokaler Apache kann ja trotzdem nur eines. Mir ist nicht klar, warum bei einer Rechnerverbindung Linux<->Windows die VPN-Software des Windowsrechners anscheinend "umgangen" werden kann, bei einer Rechnerverbindung Windows<->Windows dagegen nicht.

Ich kann jedoch verstehen, wenn dieser Modus gemäß den VPN-Sicherheitsrichtlinien Deines Auftraggebers deaktiviert ist.

So völlig unverständlich ist mir das, wie bereits angegeben, auch nicht. Nur: wenn mir schon jemand die Tunnelung in sein nichtöffentliches Netz erlaubt, muß da ja bereits ein gewisses "Vertrauen" vorhanden sein...

Grüße aus Berlin

Christoph S.

hallo Christian,

Dagegen kannst Du nicht viel tun. Für den Cisco-Client gibt's unter Linux eine Alternative namens 'vpnc'

Den kenne ich, nutzt mir leider nix wegen des Zertifikats.

Einen Ausweg kann ich Dir anbieten: Installiere VMWare, VirtualBox, qemu, bochs o.ä. und nutze den VPN-Client nur innerhalb einer virtuellen Maschine.

Das habe ich einmal versucht und bin damit gescheitert.

Naja, so, wie ich es jetzt habe, ist es einfach bloß lästig, das Ding ein paarmal am Tag an- und wieder abzuschalten.

Grüße aus Berlin

Christoph S.