---

Jeg har ca. 110 medarbejdere som skal have mulighed for at koble sig til
vores netværk via VPN.
Vi har i forvejen en Intel Netstructure gateway 3110 som de idag tilslutter
sig via en ganske alm. analog linie og en Intel VPN Klient. Det køre
desværre bare temmeligt ustabilt og vi må ofte resette boxen, hvorefter det
kører en tid igen.

Jeg ser derfor på et alternativ til denne boks samt nogle bedre forbindelser
til brugerne.

Det jeg har set på er en Cisco 3005 VPN concentrator eller en PIX515E-R
sammen med TDC's forslag, som består af en ADSL forbindelse samt en Filanet
300 telecommuter.

Vi har i forvejen en ISA server.

Er der nogle netværkshaj som vil give lidt ud af deres viden, og kommentere
dette.
Hvordan løser jeg det bedst?

Mvh.
Jan Jensen

---

On Sat, 22 Feb 2003 00:05:20 +0100, "Jan Jensen" <janjen@image.dk>
wrote:

>Jeg har ca. 110 medarbejdere som skal have mulighed for at koble sig til
>vores netværk via VPN.

Jeg ville først overveje hvilke behov som findes.

Skal de have mulighed for at koble sig op hjemmefra eller overalt ?

Jeg rejser selv en del over hele verden og har behov for at have
adgang til mit mail, voicemail, fax og visse web systemer "altid"
Vort system er enkelt og giver mig mulighed for at når- og
hvorsomhelst koble mig op mod firmaet på en meget fleksibel og billig
måde.

Jeg har mulighed for at koble mig op mod firmaets net her hjemmefra
eller via et netværk hos en kunde, hotel eller lignende.
Derudover kan jeg ringe ind til lokale numre over hele verden hvilket
sikre billig og hurtig adgang når man rejser. Der findes frikaldsnumre
overalt hvilket normalt gør det "gratis" at ringe fra et hotel,
regningen for kaldet til frikaldsnummeret kommer dog til mig senere


Sikkerheden er også et vigtigt aspekt.
En hardware boks hjemme for enden af ADSL linien er bekvent men
betyder i princippet at firmaets net er tilgængeligt på 110 adresser
hvor sikkerheden specielt omkring fysisk adgang er dårligere end på
virksomheden. Hvis ungerne løber ind til naboen uden at låse døren kan
hvem som helst vandre ind og forbinde sig til firmaets net, er det
ønskværdigt ?

Jeg anvender selv en VPN klient, personlig kode og en SecurID token,
det fungerer glimrende og giver efter min mening en rimelig høj
sikkerhed, dette er dog ikke direkte billigt.
En god password sikkerhed kan måske give næsten lige så høj sikkerhed
og er meget billigere.
Jeg har ingen problemer ved at anvende en VPN klient heller ikke
hastighedsmæssigt.

Omkring ADSL linier vil det ofte vise sig at nogle ikke kan få ADSL
andre kan få billigere forbindelser gennem KabelTV eller andet, nogle
få vil sikkert ikke kunne få nogle af delene og kan bare ringe op
gennem en ISP for at sikre lavest mulig pris, løsningen bør sikre at
dette kan lade sig gøre.

Hvis man anvender firma PCen på hjemmenettet for at surfe osv. kan det
være en god ide at have en personal firewall, dette findes i mange VPN
klienter. Altenativt kan man installere en af de mange som findes.

>Vi har i forvejen en Intel Netstructure gateway 3110 som de idag tilslutter
>sig via en ganske alm. analog linie og en Intel VPN Klient. Det køre
>desværre bare temmeligt ustabilt og vi må ofte resette boxen, hvorefter det
>kører en tid igen.
>
>Jeg ser derfor på et alternativ til denne boks samt nogle bedre forbindelser
>til brugerne.
>
>Det jeg har set på er en Cisco 3005 VPN concentrator eller en PIX515E-R
>sammen med TDC's forslag, som består af en ADSL forbindelse samt en Filanet
>300 telecommuter.
>
>Vi har i forvejen en ISA server.
>
>Er der nogle netværkshaj som vil give lidt ud af deres viden, og kommentere
>dette.
>Hvordan løser jeg det bedst?
>
Uden at være en netværkshaj vil jeg prøve at beskrive vort udstyr.

SecurID tokens:
http://www.rsasecurity.com/products/securid/hardware_token.html

AT&T RAS:
http://www.att.com/emea/english/services/pdf/ras_6pp.pdf
http://www.att.com/emea/english/services/access.html
Det sidste link giver mulighed for at prøve tjenesten.

VPN klient:
http://avaya.com/ac/common/index.jhtml?location=M1H1005G1013F2056P3134N4941&gen_page=Full+Product+Information

VPN Hardware:
http://avaya.com/ac/common/index.jhtml?location=M1H1005G1013F2056P3132N4915&gen_page=Full+Product+Information

ADSL:
http://www.telia.se/bvo/info/gen_info_bred.jsp.html?OID=Upptack_bredband&CID=-32284

--
Arne Keller
Jeg udtaler mig, på usenet, alene på egne vegne.
Spørgsmål om netværk ? www.net-faq.dk

---

"Jan Jensen" <janjen@image.dk> skrev i en meddelelse
news:3e56b055$0$52114$edfadb0f@dread16.news.tele.dk...
>
> Vi har i forvejen en ISA server.
>

Denne vil jeg klart benytte som VPN server..... Den klarer IPSec uden
problemer og så er det en integreret Windows løsning, dvs. at brugerne kan
genbruge deres Windows logon.

Jens

---

On 24 Feb 2003 01:20:01 +0100, "Jens"
<jjonsson@_NOSPAM_get2net.dk> wrote:

>> Vi har i forvejen en ISA server.

> Denne vil jeg klart benytte som VPN server..... Den klarer IPSec uden
> problemer og så er det en integreret Windows løsning, dvs. at brugerne
> kan genbruge deres Windows logon.

Det er kan de fleste dedikerede VPN-koncentratorer også, inkl.
den Cisco VPN3000, som Jan refererede til.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Jens" <jjonsson@_NOSPAM_get2net.dk> wrote in message news:<3e5950ab$1@news.wineasy.se>...
> "Jan Jensen" <janjen@image.dk> skrev i en meddelelse
> news:3e56b055$0$52114$edfadb0f@dread16.news.tele.dk...
> >
> > Vi har i forvejen en ISA server.
> >
>
> Denne vil jeg klart benytte som VPN server..... Den klarer IPSec uden
> problemer og så er det en integreret Windows løsning, dvs. at brugerne kan
> genbruge deres Windows logon.
>
> Jens

Jeg ville også holde mig til ISA serveren, hvis ikke jeg ville
investere i en Cisco 3005. Den er specielt udvilket til at håndtere
VPN og intet andet.
Jeg har så også den opfattelse at en firewall ikke skal kører andet en
firewall og hverken vpn eller antivirus, men det kan gå hen og blive
dyrt i længden. Derfor kombinere mange FW med VPN i samme boks.

Cisco boxen er et godt og nemt produkt, som du kan placere på et DMZ
ben på ISAen. Den vil så aflaste firewallen og stå for al VPN traffik,
hvilket kan blive en hel del hvis du kommer op på en 50 sammentidige
brugere.
Du skal blot være opmærksom på at Cisco 3005, kun kan håndtere 100
sammentidig brugere!

mvh

Christian
CCNA
NACP

---

On 24 Feb 2003 01:20:01 +0100, "Jens" <jjonsson@_NOSPAM_get2net.dk>
wrote:

> Den klarer IPSec uden problemer...

Jeg var på et kursus i Windows 2000, som en del af MCSE uddannelsen,
og vi lavede som en del af laboratorieforsøgene nogle tests af ipsec
funktionaliteten i Win2K.

Inden du benytter denne, på en server, som Jeg tror at din chef vil
være glad for at du ikke "lukker" i arbejdstiden, så bør du klart lave
en grundig test. Vi fik vores testserver helt i knæ med 5-6
forbindelser og max 2mbit trafik. Det var ikke verdens hurtigeste
server, men du bør teste uden for arbejdstid, hvis du ikke vil lave et
CLM (Carier limiting move). Folk bliver så underlige hvis de ikke kan
tilgå mail, printere og filer.

Vi har dog stor succes med den løsning som Asbjørn og Jan henviser til
med en Cisco VPN-concentrator.

Med venlig hilsen

/Steffen

---

Alle brugerne skal hovedsagligt koble op hjemmefra, men da en stor del af
dem er kørende teknikere skal disse også kunne koble op evt. ude hos en
kunde osv, hvilket de kan med cisco's software klient.

Jeg skal lige have det skåret helt ud i pap!!

Skal jeg forstå det sådan at I anbefaler at jeg fortsat kører min ISA server
som firewall/proxy og derudover kører en VPN box i en DMZ?

Er ISA serveren sikker nok i forhold til en decideret firewall som Cisco
PIX?

I Cisco 3005 kan man som sagt konfigurerer 100 brugere, men kan jeg ikke
lade brugerne verificere på mit domæne og ikke i boksen hvis jeg har brug
for flere?

Er der bedre løsninger?

Mvh

Jan Jensen

---

"Jan Jensen" <janjen@image.dk> wrote in message
news:3e5a8c38$0$52208$edfadb0f@dread16.news.tele.dk...
> I Cisco 3005 kan man som sagt konfigurerer 100 brugere, men kan jeg ikke
> lade brugerne verificere på mit domæne og ikke i boksen hvis jeg har brug
> for flere?

Det tror jeg du har misforstået - de 100 er max _samtidige_ brugere. Og jo,
du kan nemt authenticate op mod f.eks. et NT/AD domæne hvis det er sikkert
nok til dit brug.

Kaj

---

"Kaj S. Laursen" <kaj@hih.dk> wrote
>
> Det tror jeg du har misforstået - de 100 er max _samtidige_ brugere. Og
jo,
> du kan nemt authenticate op mod f.eks. et NT/AD domæne hvis det er sikkert
> nok til dit brug.

Ok, jeg havde forstået at de 100 samtidige brugere også var et udtryk for
hvor mange der kunne konfigureres i boxen.

Jeg verificerer idag brugerne på domænet og har lavet en radius server som
de også checkes op imod, er det ikke rimeligt sikkert?
Hvordan ville I sikre jer uden at skulle ud og investere en vildt og
voldsomt?

/Jan

---

"Jan Jensen" <jan.jensen@image.dk> wrote in message
news:3e5b12b9$0$16207$edfadb0f@dread11.news.tele.dk...
>
> Ok, jeg havde forstået at de 100 samtidige brugere også var et udtryk for
> hvor mange der kunne konfigureres i boxen.

Jeg ved faktisk ikke hvor mange der kan oprettes på boxen - det er egentlig
lige meget, for man opretter dem normalt ikke der.

> Jeg verificerer idag brugerne på domænet og har lavet en radius server som
> de også checkes op imod, er det ikke rimeligt sikkert?

Jo, men alt er relativt. Nogle vil gerne have have 2-factor authentication
ved VPN, altså hvor der også bruges SecurID løsning.

> Hvordan ville I sikre jer uden at skulle ud og investere en vildt og
> voldsomt?

Authentication med brugernavn og password mod domænet er nok for mig, hvad
der er Sikkert Nok (TM) for dig tør jeg ikke udtale mig om.

Kaj

Kaj

---

Hvis du sætter en VPN Con. på din DMZ, så skal din ISA kun route IP
pakker, og ikke håndtere selv krypteringen. Det belaster ISAen en hel
del mindre, end hvis den skulle håndtere alt selv.

Sikkerhedsmæssigt vil jeg vove at påstå at ISA og PIX er lige gode.
ISA kan dog flere funktioner end en PIX, bla. derfor er ISA dyrere.
Problemet jeg ser med ISA, er hvis du ikke har "lukket" den godt nok.
Dvs. glemmer patches, har IIS kørende etc etc. så er den nemmere at
angribe end en PIX. Disse "huller" har du ikke på PIXen da den er OS
og Firewall i samme firmware pakke. Ikke at sige der ikke kan opstå
huller i PIXen.

Cisco VPN Con. 3005 kan håndtere 100 sammentidige tunneler, men du kan
godt oprette 250 brugere. Og det er lige meget om de bruger RADIUS
eller om de verficere sig selv med en Pre-Shared Key.

Hvis du vil op og kører mere end 100 sammentidige tunneler, så skal du
op i næste størrelse af VPN Con. Jeg kan ikke huske hvad den hedder
eller hvor mange den kan klare, men Cisco VPN Con. 3030 kan håndtere
1000 tunneler.

mvh

Christian.
CCNA
NACP


"Jan Jensen" <janjen@image.dk> wrote in message news:<3e5a8c38$0$52208$edfadb0f@dread16.news.tele.dk>...
> Alle brugerne skal hovedsagligt koble op hjemmefra, men da en stor del af
> dem er kørende teknikere skal disse også kunne koble op evt. ude hos en
> kunde osv, hvilket de kan med cisco's software klient.
>
> Jeg skal lige have det skåret helt ud i pap!!
>
> Skal jeg forstå det sådan at I anbefaler at jeg fortsat kører min ISA server
> som firewall/proxy og derudover kører en VPN box i en DMZ?
>
> Er ISA serveren sikker nok i forhold til en decideret firewall som Cisco
> PIX?
>
> I Cisco 3005 kan man som sagt konfigurerer 100 brugere, men kan jeg ikke
> lade brugerne verificere på mit domæne og ikke i boksen hvis jeg har brug
> for flere?
>
> Er der bedre løsninger?
>
> Mvh
>
> Jan Jensen

---

On Mon, 24 Feb 2003 13:59:16 -0300, Steffen Moeller
<stm3@greennet.gl> wrote:

> CLM (Carier limiting move)

AKA "en CCE" (Career Changing Experience).

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/