Opkobling fra nogle af vores forhandlere til vores netværk

Har du tænkt på følgende problemstillinger:

1. Din konsulent skifter peer IP adresse hver gang?
2. Åbning for VPN på de kundenet han besøger?
3. Vil kunde tillade dig at opsætte PIX på deres netværk?

En VPN klient vil normalvis være at foretrække i den situation. Hvorfor vil du gøre det med en pix501?

Med hensyn til dit virusspørgsmål, så er jeg usikker på om jeg forstår det korrekt.

1. Konsulenten skal ikke skifte IP-adresse, idet den er fast. Pix 501 bliver sat op således at indersiden er sat til konsulentens IP-adresse og ydersiden er sat til DHCP, så er det jo sådan set ligemeget hvor han sætter den til, blot at vores pix 506 er sat op med den IP-adresse forhandleren har.

2. Vi har ikke snakket med forhandlerens IT-afdeling endnu, men blot haft den på tegnebordet her i huset for ligesom, at komme med et forslag til hvordan vi vil gøre det så sikkerheden er i top.
Hvilke porte skal lukkes op på deres firewall så det funker?

3. Det må da give den bedst tænkelige sikkerhed. Vi kan lukke for indgående trafik således, at vi ikke kan få noget virus m.m fra dem og ned på pc´en.
Kan man også lukke for udgående trakfik, så der kun er en VPN kørende til vores netværk?

Hvis jeg bruger en VPN klient så er der vel en reel risiko for, at forhandleren kan få virus m.m. fra konsulentens pc og konsulentens pc kan få virus fra forhandlerens netværk. Er det ikke korrekt? Og så har vi jo balladen!!

I sidste ende er der jo ingen af os som ønsker at sikkerheden bliver sat over styr.

Den helt enkle måte er jo ved hjelp av Windows remote desktop. Da behøves ingen isenkram. Kan logges på hvor som helst i verden via internett. Pris kr 0,- ved at dette jo er støttet av Windows Pro som default.

Alternativt, dersom dette skal gjøres ved hjelp av VPN, hvilket selvfølgelig også er mulig, så vil dette vel nødvendigvis medføre enn viss sikkerhetsrisiko, mht virus mm dersom brukeren for eksempel skal kunne overføre filer til fra.

Ved bruk av remote desktop så vil filene aldri behøve å flytte seg ut fra det lokale lan.

En litt annen måte å gjøre dette på det er jo å dele opp det indre nettverket i to eller flere sikkerhestsoner (skilt av med firewalls) der VPN klientene bare har tilgang til for eksempel en av sikkerhetssonene. Hvis man bruker bridge mode forewalls så kan en oppdeling i sikkerhetssoner skje uten tildeling av nye ip adresser inettverket.

Ved eventuell bruk av standard Windows remote desktop så kjører jo ellers forbindelsen kryptert, som default, slik at det i prinsipp ikke skal være nødvendig med VPN.

"Pris kr 0,- ved at dette jo er støttet av Windows Pro som default."

Vel, vel, hvis det er snakk om flere samtidige pålogginger, da er det vel snakk om Win 2003 server m lisenser, og det er jo ikke gratis.

http://www.eksperten.dk/spm/730855

1. Okay du vil altså ikke lave en LAN-til-LAN VPN, men kører 501'eren som en VPN klient der verifecere op med brugernavn osv.? For hvis ikke så har PIX 501'eren jo en anden adresse og dermed vil det skulle ændres i PIX506'eren hver gang.

2. Cisco VPN er vistnok Protokol ESP (50), UDP4500, UDP500 og i nogle tilfælde TCP/UDP10000.

3. Det er ikke alle firmaer der vil tillade konsulenter at smide udstyr op på netværket. Mit firma ville f.eks. ikke.

4. Angående virus må tricket også her være lukke for alt andet trafik end VPN.

Hvorfor ikke bare bruge Cisco VPN client på konsulentes pc. Så kan du sætte din Pix 506 op til ikke at godtage splittuneling. Det vil også isolere konsulenten totalt fra kundens net når han åbner VPN tundelen ind mod jeres netværk.

maxmull> Kan du ikke lige forklare lidt nærmere med hensyn til at det vil isolere totalt fra kundens net ved at bruge Cisco VPN Client.

Da det måske drejer sig om flere lokationer vil det jo være med en anden IP-adresse for hver lokation. Vores konsulenter er "Brugere" på de bærbare dvs. de har ikke rettighed til at ændre IP-adressen. Der bruges en fast IP-adresse på konsulenternes bærbar til vores løsning. Derfor synes jeg løsningen med Pix 501 var en god idé, idet den sættes til DHCP og så kan konsulenten arbejde fra hvilken som helst lokation.

Hvis man skulle undgå at bruge Pix 501 og vi fortsætter med uændredede brugerniveau kunne løsningen vel være sålede:

1. Den bærbare har en fast IP-adresse 192.168.2xx.2 - må bare håbe at forhandleren ikke bruger dette scope på deres netværk
2. Der installeres WMware med en virtuel XP hvor der kun kan afvikles Cisco VPN Client og Fjernskrivebord
3. På den virtuelle XP sættes netkort til DHCP
4. Tilladelse af de porte der skal benyttes til VPN
Med denne løsning bibeholder jeg den faste IP-adresse på den bærbare og samtidig har jeg en Virtuel XP som kan tilgå vores netværk via Cisco VPN Client fra alle lokationer og sidst men ikke mindst, konsulenten skal ikke have en Pix 501 med ud.

Hvorfor ikke bare bruge vpn klienten som ®azzer® foreslår ?

man kan jo sætte 506'eren op så den kun tillader rdp (remote desktop 3389 tcp) ind til terminal serveren.
plus hvis vpngroup'en ikke køre split tunnel, kan klienten ikke komme på netted samtidig med han er på.
og hvis du sætter terminal server op så den ikke tilader klient disk mapping og clipboard. så er du kommet langt

Jo, men det hele ligger jo i, at brugeren ikke har adgang til at ændre IP-adresse idet han er bruger på pc´en og derfor kan vpn klienten vel heller ikke få adgang til forhandlerens netværk. Er det ikke korrekt?

Præcis en ikke aktivering af splittunneling vil sikre af der ikke kan skabes forbindelse mellem de 2 netværk og dermed udsættes for hackerangreb eller lign, men virusproblematikken mener jeg stadig skal ordnes ved at have sat pc'en korrekt op. De firmaer i skal besøge vel forhåbentlig alligevel ikke tillade jer at stille en fremmed pc op deres eget LAN. De har formodentlig et DMZ til det?

azzer> Det med splittunneling er jeg ikke helt stiv i...kan du forklare lidt?
Dvs. skal vores konsulent ikke ændre IP-adesser fra fast til DHCP?

Vi ved endnu ikke hvordan forhandlerens netværk ser ud - derfor denne snak.
Ved os er der ingen fremmed pc´er der må komme på vores netværk, så enkelt er det. Man kunne sagtens lave det med et DMZ, så var man ihvertfald afskåret fra forhandlerens netværk. Hvor jeg arbejder er jeg er så heldig, at jeg har flere ledige IP-adresser på min SHDSL som fremmede pc´er kommer på - så har de adgang til internet.

Split tunneling tillader at man både er på VPN og det netværk man er tilkoblet. Hvis man ikke har split tunneling enablet, så vil du kun have adgang til det som du har adgang til igennem VPN'en. Det sikrer altså jeres netværk imod nogle overraskelser fra kundens netværk og omvendt. Det har ikke noget med DHCP og fast IP-adresse at gøre. Han kan have begge dele men jeg mener bestemt at jeres konsulent skal have adgang til at ændre IP'en på PC'en. I kan ikke være sikre på at de netværk i besøger kører DHCP. Og det vil nok i virkeligheden være et endnu størrere problem hvis i kommer rendende med en pix.. medmindre I selvfølgelig oplærer ham i at ændre IP-adressen på den ;-)

Ganske interessant spørsmål .. finner dere ut av noe ?

Vi er ved at være derhenne hvor vi skal have lavet samarbejdet. Vi er ligeledes i dialog med vores samarbejdspartner.
Dem der har givet ideér til løsninger bedes give svar.