---

Hej med jer.

Vi har ikke haft brug tidligere at skulle kunne arbejde hjemmefra. Men i
forbindelse med noget CRM system, har jeg brug for at logge en extern
konsulent på vores netværk.

Jeg har forstillet mig noget med at tillade hans "mac address" eller hvad
det nu hedder, til at komme igennem vores firewall. og så skal der
selvfølgelig et brugernavn samt password på også. Men hvordan beder jeg den
externe konsulent om at give mig hans mac adresse ? er det et lille program
man kan køre som viser denne adresse ?

Og der evt. andre faldgruber som I på forhånd kan advare mig imod ?

Hilsen Robert

---

Robert Petersen wrote:

> Hej med jer.
>
> Vi har ikke haft brug tidligere at skulle kunne arbejde hjemmefra. Men i
> forbindelse med noget CRM system, har jeg brug for at logge en extern
> konsulent på vores netværk.
>
> Jeg har forstillet mig noget med at tillade hans "mac address" eller hvad
> det nu hedder, til at komme igennem vores firewall. og så skal der
> selvfølgelig et brugernavn samt password på også. Men hvordan beder jeg den
> externe konsulent om at give mig hans mac adresse ? er det et lille program
> man kan køre som viser denne adresse ?
>
> Og der evt. andre faldgruber som I på forhånd kan advare mig imod ?
>
> Hilsen Robert

Hej Robert - ud fra din post må jeg næsten anbefale at du søger extern
hjælp til at få det sat op.

Har i noget VPN udstyr i virksomheden som kan nåes udefra ? Er det en
enkelt PC/server konsulenten skal have adgang til ? I så fald kan du
overveje et stykke sikkert remote control software a'la Netop Remote
Control.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

---

"Robert Petersen" <veng_spam_@post3.tele.dk> skrev i en meddelelse
news:AQ_kd.396$_%.289@news.get2net.dk...

> Og der evt. andre faldgruber som I på forhånd kan advare mig imod ?

Du bør bruge vpn, hvordan du laver det afhænger af hvilket udstyr du har.

For at komme videre skal vi vide:
Hvilket OS der er på din server?
Hvilken adgang skal konsulenten have til din server, skal han installere på
den eller blot have fil-adgang?
Hvilken firewall har du?
Hvordan er du tilsluttet internettet?

/Brian

---

Robert Petersen wrote:
>
> Og der evt. andre faldgruber som I på forhånd kan advare mig imod ?

For det første kan du jo ikke se MAC adressen på de maskiner som
kontakter dig. For det andet bør du sørge for at bruge en protokol,
hvor der ikke sker autentifikation i klartekst, eller endnu bedre
slet ingenting i klartekst. Personligt bruger jeg altid ssh til den
slags.

--
Kasper Dupont

---

"Robert Petersen" <veng_spam_@post3.tele.dk> skrev i en meddelelse
news:AQ_kd.396$_%.289@news.get2net.dk...
> Hej med jer.
>
> Vi har ikke haft brug tidligere at skulle kunne arbejde hjemmefra. Men i
> forbindelse med noget CRM system, har jeg brug for at logge en extern
> konsulent på vores netværk.
>
> Jeg har forstillet mig noget med at tillade hans "mac address" eller hvad
> det nu hedder, til at komme igennem vores firewall. og så skal der
> selvfølgelig et brugernavn samt password på også. Men hvordan beder jeg
den
> externe konsulent om at give mig hans mac adresse ? er det et lille
program
> man kan køre som viser denne adresse ?
>
> Og der evt. andre faldgruber som I på forhånd kan advare mig imod ?
>
> Hilsen Robert
>

Hvis hans IP-adresse er fast, kan du gå lave et hul igennem din firewall fra
en bestemt adresse på din DMZ til en bestemt adresse på LAN, hvor der så er
en maskine, vedkommende kan bruge. Men trafikken er ikke krypteret og login
er ikke krypteret.

Det er derfor at man har opfundet konceptet med en VPN-tunnel, hvor der
aftales en kode mellem de to firewalls, som kender hinandens IP-nummer på
forhånd.

Når nu man kan få en firewall i løs handel til under 2.000 kr med muligheden
for en VPN-tunnel indbygget, så gør brug af muligheden istedet for at lave
en halv løsning, som du ligger op til.

Hvis grunden til at du gerne vil vide hvilken adresse hans netværkskort har,
er at hans familie har hjemme-PC'er på samme LAN hos medarbejderen, så
findes der firewalls med MAC-filter, så kun en bestemt maskine i
husholdningen kan bruge tunnellen. Det koster ekstra.

Det sikrer dog ikke medarbejderens maskine mod virus/spam fra de øvrige
maskiner hos medarbejderen, hvilket sikkert kan give noget ekstra
mail-trafik, da Jeres adresser nok står et eller andet sted på
medarbejderens maskine. Så der skal i det tilfælde laves en ekstra indsats
med programmer til beskyttelse mod disse plager, medmindre at I anvender en
tynd klient med noget Wyse hjemmeopfunden OS, som ingen gider at skrive vira
til.

Det bruger vi i de tilfælde, hvor en medarbejder PC skal reinstalleres for
tit. Folk kan hos os miste retten til at have en hjemme-PC og istedet få en
hjemme-maskine, som kun kan bruges på en terminal-server, hvor administrator
må ændre opsætning. (At skifte farver på skrivebordet er stort set den
eneste brugergode, som der er tilladelse til.)

Men firmaer er forskellige og vi hører nok til i den strikse ende.
--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

Carsten Overgaard wrote:
>
> Hvis grunden til at du gerne vil vide hvilken adresse hans netværkskort har,
> er at hans familie har hjemme-PC'er på samme LAN hos medarbejderen, så
> findes der firewalls med MAC-filter, så kun en bestemt maskine i
> husholdningen kan bruge tunnellen. Det koster ekstra.

I det tilfælde mener jeg arbejdsmaskinen bør stå indenfor
firewallen og privatmaskinen bør stå udenfor. Hvis man
insisterer på at have privatmaskinen bagved en firewall
må man så have to forskellige firewalls, og ydersiden af
de to firewalls kan så forbindes i en router. (Der er
selvfølgelig flere variatonsmuligheder, man kan sætte de
to firewalls bagved hinanden eller blot anvende den
firewall funktionalitet, der ligger i en router).

--
Kasper Dupont

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:4196398C.80E7E07B@daimi.au.dk...
> Carsten Overgaard wrote:
> >
> > Hvis grunden til at du gerne vil vide hvilken adresse hans netværkskort
har,
> > er at hans familie har hjemme-PC'er på samme LAN hos medarbejderen, så
> > findes der firewalls med MAC-filter, så kun en bestemt maskine i
> > husholdningen kan bruge tunnellen. Det koster ekstra.
>
> I det tilfælde mener jeg arbejdsmaskinen bør stå indenfor
> firewallen og privatmaskinen bør stå udenfor. Hvis man
> insisterer på at have privatmaskinen bagved en firewall
> må man så have to forskellige firewalls, og ydersiden af
> de to firewalls kan så forbindes i en router. (Der er
> selvfølgelig flere variatonsmuligheder, man kan sætte de
> to firewalls bagved hinanden eller blot anvende den
> firewall funktionalitet, der ligger i en router).

Der findes firewalls, som kan supportere to adskildte LAN. Hos os ligger
beslutningsprocessen om hvorvidt at der skal ligge bredbånd hos en
medarbejder istedet for en ISDN forbindelse (der på grund af vores specielle
teletakster er alt rigelig til det arbejdsmæssige brug økonomisk set) hos
den overordnede, som medarbejderen forhandler løn med, da bredbånd er et
personalegode mere end det er en nødvendighed IT-mæssigt.

Derfor har vi blot opsat krav til typen af firewalls og hvad der må
tilsluttes af udstyr på firma-LAN'et hos medarbejderen alt efter hvad
personaleafdelingen får forhandlet sig frem til. De må f.eks. ikke etablere
trådløse netværk på firma-delen medmindre at udstyret (som vi vælger) er
konfigureret med det niveau af sikkerhed, som vi har beskrevet.


--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

Carsten Overgaard wrote:
>
> Der findes firewalls, som kan supportere to adskildte LAN.

Dem kan man så anvende hvis man vil spare lidt penge. En
firewall, der kun skal håndtere et lokalnet og en ekstern
forbindelse, burde være simplere og dermed have mindre
risiko for fejl, som kan påvirke sikkerheden.

Jeg vil tro at to seperate firewalls i langt de fleste
tilfælde kan dække de behov man ellers bruger en trebenet
firewall til. Og hvis en firewall med tre ben har nogle
features du ikke kunne opnå ellers er vi sikkert oppe i
noget, der er så compliceret, at det er nemt at lave
forkert.

--
Kasper Dupont

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:419878AE.97E0C290@daimi.au.dk...
> Carsten Overgaard wrote:
> >
> > Der findes firewalls, som kan supportere to adskildte LAN.
>
> Dem kan man så anvende hvis man vil spare lidt penge. En
> firewall, der kun skal håndtere et lokalnet og en ekstern
> forbindelse, burde være simplere og dermed have mindre
> risiko for fejl, som kan påvirke sikkerheden.
>
> Jeg vil tro at to seperate firewalls i langt de fleste
> tilfælde kan dække de behov man ellers bruger en trebenet
> firewall til. Og hvis en firewall med tre ben har nogle
> features du ikke kunne opnå ellers er vi sikkert oppe i
> noget, der er så compliceret, at det er nemt at lave
> forkert.

Jeg tror at man første gang, man roder med VPN lige skal have en ekspert med
på sidelinien og eventuel få sat en medarbejder på kursus i produktet.

Uanset hvor hård dommen var i Valus-sagen, så er det stadig hovednøglen til
virksomheden, man er ude og aflevere her. Husk på at dommeren _efter_
domafsigelsen jvf. computerworld efterlyste hvad præcist han lige havde dømt
en person for.
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=26013 Noget tyder
på at det kan blive svært at få en indbrudstyv dømt, når man tænker på at
Valus jvf. dem selv stillede med den yperste ekspertice, man kan opdrive
indenfor it-sikkerhed til retsagen. Det har vores firmaer ikke ressourcer
til.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

Robert Petersen wrote:

> Vi har ikke haft brug tidligere at skulle kunne arbejde hjemmefra. Men i
> forbindelse med noget CRM system, har jeg brug for at logge en extern
> konsulent på vores netværk.

Hmm.. fra subj: 'Bruger..'
Er det en 'Bruger' i form af konsulent, der skal have adgang til
kundeoplysinger eller..?
Er det en, der skal kunne rette i 'noget CRM system' ?

--
Med venlig hilsen
Stig Johansen

---

"Stig Johansen" <stig_johansen_it_at_=(@)hotmail.com> skrev i en meddelelse
news:4194babd$0$33743$14726298@news.sunsite.dk...
> Robert Petersen wrote:
>
> > Vi har ikke haft brug tidligere at skulle kunne arbejde hjemmefra. Men i
> > forbindelse med noget CRM system, har jeg brug for at logge en extern
> > konsulent på vores netværk.
>
> Hmm.. fra subj: 'Bruger..'
> Er det en 'Bruger' i form af konsulent, der skal have adgang til
> kundeoplysinger eller..?
> Er det en, der skal kunne rette i 'noget CRM system' ?

Uanset om brugeren kan rette eller blot se, kan det vel ikke rokke ved at
sikkerheden skal være rimelig høj. Selvom brugeren ikke kan rette, så er
alle samhandelsdata tilgængelig.

Jeg kan ikke se at mindre end en VPN-tunnel kan gøre det.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

---

(start/kør/command)
ipconfig /all


> er det et lille program
> man kan køre som viser denne adresse ?
>
> Og der evt. andre faldgruber som I på forhånd kan advare mig imod ?