Sicherheitsfrage bezgl. VPN ausgehend aus Firma

Bei uns in der Firma gibt es Anforderungen das Mitarbeiter sich in Kundennetzwerke per VPN einwählen sollen. Wir haben in der Firma eine Suse FW auf der eigentlich nur Port 50 für SMTP und Port 80,21 über SQUID geöffnet ist.

Man könnte natürlich alle VPN Port für öffnen damit diese Mitarbeiter aus dem internen LAN VPN ausgehend nutzen können , aber das reißt nach meiner Meinung ein Sicherheitsloch auf.

Ich hab in dieser Hinsicht wenig Erfahrung, welche Scenarien könnte ihr mit empfehlen , wie sind eure Policys in den Unternehmen bezg. VPN?

IPSEC-zu-IPSEC-Gateway mit uneingeschränkter Kommunikation. Regulärer Traffic wird natürlich beschränkt. (Warum ipsec... naja, denke mal da hat jemand gewürfelt, und ipsec hat gegenüber openvpn gewonnen.)

IPSEC-zu-IPSEC-Gateway ? Wie würde das im einzelnen ausehen?

IPSEC Client(LAN) > Firewall(offene Ports für VPN) > IPsec Gateway?

Nochmal genauer, der Kunde stellt ein IPSec Gateway mit L2TP zu Verfügung, unsere Clients wollen aus dem LAN direkt auf das IPsec Gateway zugreifen. Wie würde dann die Konfiguration der SuseFW aussehen?

Was mich an der ganzen Geschichte stört ist halt, das man unkontrolliert eine Verbindung ins LAN und umgekehrt tunneln kann.

Der Thread ist wohl beim Netzwerk besser aufgehoben. Schieb

Ich denke der entscheidende Punkt hier ist erst einmal eine Sicherheitsrichtlinie zu definieren und sich dann Gedanken darüber zu machen wie man die umsetzt.

Also - was müssen die Mitarbeiter in den Kundennetzwerken können ? Vollzugriff ? Nur Fernwartung via VNC/Remote Desktop/ssh ? Filetransfer über Windows Netzwerk ? etc

Es mag hier durchaus Sinn machen festzulegen daß man dafür ein separates Netzwerksegment anlegt das keine Verbindung zum eigenen Produktivnetz hat.

Man muß sich ja auch z.B. dagegen absichern daß man sich von Kunde A einen Virus fängt und den dann zu Kunde B überträgt.