Vurdering af opsætning/sikkerhed. VPN og RADIUS
Hejsa eksperter.Jeg har netop sat et VPN-netværk op, og vil i den forbindelse høre jeres mening om sikkerheden i det.
Naturligvis er jeg interesseret i et så højt sikkerhedsniveau som muligt, men det skal kunne klares med den eksisterende hardware.
På LAN-siden står der 2 DC'ere (Primary og Secondary) hvor der er installeret IAS på den sekundære DC. Disse er begge koblet til backbone-switchen,
på samme måde som alle klienterne. IAS er sat op til at håndtere PAP (ukrypteret), da Zywall 10W åbenbart kun kan håndtere denne type RADIUS-forespørgsler.
Risikoen for at 3.part sniffer pakker på det lokale net er minimal. Adgang til internettet foregår gennem en Zyxel Zywall 10W Firewall.
Adgang udefra foregår, som skrevet via VPN, og her er opsætningen:
Kompleks Pre-Shared Key
ESP : AES-128bit og SHA-1
Phase 1: AES-128bit, SHA-1, Key-Group: Diffie-Hellman 1
Phase 2: ESP; AES-128bit, SHA-1
---
Klienterne kobler op til VPN-serveren med en klient leveret af Zyxel.
Jeg kan desværre ikke låse VPN-klienterne på IP-adresser, da de i sagens natur skal kunne gå på nettet overalt.
-----
Umiddelbart vil jeg sige det konkrete setup er sikkert, men jeg har ikke meget erfaring indenfor feltet. Det der falder mig for hjertet er, at jeg kører med
PAP mellem Firewall og DC. Dette ville jeg mene burde være min. PEAP eller tilsvarende (Ms-Chapv2 går vidst ikke ;) ) (Ret mig hvis jeg tager fejl i navne etc.)
Mine egne forslag til "forbedringer" iht. udstyrets muligheder er:
Brugen af certifikat (2048bit) i stedet for PSK.
Hvad siger eksperterne ? :)
