---

Hej.

Jeg har et større problem, mit firma levere nogle servere (normalt bare en
XP maskine) med nogle programmer, vi selv har udviklet til at styre
bygningsautomation.

Nogle gange ønsker vores kunder at ændre opsætning eller har problemer med
diverse tingeltangel som kræver at man ændre på opsætning i vores program
mv.

Desværre er de fleste af vores kunder banker, især banker i udlandet og
lignende og de er ikke meget for at åbne deres firewalls for alle porte og
tillade hvad som helst det er bare utroligt dyrt at rejse til Isral,
Norge eller tyskland for at rode med en pc fordi brugeren minimere ens
program med "krydset" i windows applikationen.... i 9 ud af 10 tilfælde vi
bliver kaldt ud er det bruger fejl og det koster mellem 6 og 13.000kr hver
gang det er efterhånden både træls for vores kunder og os selv.

Vi har i dag en server stående i sønderjylland vi bruger til diverse ting
denne kører "Windows Server 2003 small business" og den har sådan en smart
funktion til at logge på den udefra via "Remote desktop"

Jeg kunne godt tænke mig noget lignende på de pc'ere vores kunder køber
(normalt er det bare 1pc pr. kunde) men jeg har behov for en løsning der er
så sikker at jeg kan overtale en bank mand til at evt. åbne en port i hans
firewall til maskinen...

Findes der noget som kører over port 80 for vores maskine kan se internettet
så må man vel også kunne komme den anden vej på en eller anden måde ... evt.
ved at kundens pc altid loggede på vores server og vi så via den fik kontakt
eller noget lignende.

Hvad kan jeg gøre?

M.v.h.
Lasse Madsen

---

Lasse Madsen <spam@electrologic.dk> skrev 2005-09-23:
> Vi har i dag en server stående i sønderjylland vi bruger til diverse ting
> denne kører "Windows Server 2003 small business" og den har sådan en smart
> funktion til at logge på den udefra via "Remote desktop"

HVad med at kunden kan oprette en VPN forbindelse til din server og så
kan du connecte over den VPN forbindelse fra din server.

Så behøver de ikke¨åbne porte. Du skal dog så tænke meget på sikkerheden
på din server.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Hej Martin,

> HVad med at kunden kan oprette en VPN forbindelse til din server og så
> kan du connecte over den VPN forbindelse fra din server.

Min computer her på arbejdet kører Windows XP den kan så vidt jeg husker
godt være server for 1 VPN Klient.

Hvis jeg så kunne overtale bank folkene om at oprette denne VPN forbindelse
til min pc ville jeg så via VPN forbindelsen kunne køre noget VNC eller
andet uden at de i deres netværk skulle åbne nogle yderligere porte osv.. ?

Hvad anbefaler i af remote desktop løsning der har en hvis grad af
kryptering/sikkerhed ?

Vores internet kører 2048/768 og alle vores kunder kører somregl altid
dedikerede fiber løsninger og andet hurtigt skrammel så det er nok vores
netværk der vil være den langsomme del

M.v.h.
Lasse Madsen

---

Lasse Madsen wrote:
> Findes der noget som kører over port 80 for vores maskine kan se
> internettet så må man vel også kunne komme den anden vej på en eller
> anden måde ...

At man kan komme ud på nettet er ikke det samme som at man også kan komme
ind den vej. Sammenlign med når du surfer på nettet bag en firewall/router,
heldigvis kan folk ikke komme ind til dig alligevel (hvis den er opsat
korrekt forståes).

Men det kan lade sig gøre - via VPN el. software som du er inde på -
problemet er nok bare at finde noget som "alle" synes er sikkert nok - jeg
går stærkt ud fra jeres kunder har forskellig syn på sikkerhed, og derfor er
det nok nødvendigt at gå i dialog med dem og høre hvad de vil acceptere.
Evt. at man kun efter aftale har porten åben, altså den lukkes igen efter
jeres service.

Helt alternativ mulighed - Er der mulighed for at I kan lave nogle
konfigurations-filer som lægges til download som kan indlæses i jeres
program?


--
///M

---

"Lasse Madsen" <spam@electrologic.dk> writes:

>Findes der noget som kører over port 80 for vores maskine kan se internettet
>så må man vel også kunne komme den anden vej på en eller anden måde ... evt.
>ved at kundens pc altid loggede på vores server og vi så via den fik kontakt
>eller noget lignende.

Det får du næppe banker og lignende til - uanset om det kører på den
ene eller den anden port. Der er strenge regler for IT-sikkerhed i
sådanne installationer, og enhver form for adgang fra Internet plejer
at være no-go.

Hvad med at I finder en samarbejdspartner, der dækker mere eller mindre
hele verden (eller i hvert fald den del af verden, I har brug for)?
De store konsulenthuse må kunne hjælpe her. Især hvis problemerne ret
sjældent har med jeres software at gøre. Og selv i det tilfælde vil
konsulenten jo bare kunne ringe til jeres folk og få assistance.

Det vil nok ikke blive en helt billig løsning, men den vil nok kunne
konkurrere med en tur til Israel, når man også tager spildtid og
kundens ventetid i betragtning.

Mvh.
   Klaus.

---

>>>>> "LM" == Lasse Madsen <spam@electrologic.dk> writes:

LM> Findes der noget som kører over port 80 for vores maskine kan se
LM> internettet så må man vel også kunne komme den anden vej på en
LM> eller anden måde ... evt. ved at kundens pc altid loggede på vores
LM> server og vi så via den fik kontakt eller noget lignende.

Du kan køre OpenVPN. Det fungerer endda med en webproxy. Så er der
fuld adgang til maskinen.

....Men der er nok ikke mange banker der vil have jer som leverandør,
hvis du laver det nummer.


/Benny

---

Den Fri, 23 Sep 2005 11:51:13 +0200 skrev Lasse Madsen:
>
> Vi har i dag en server stående i sønderjylland vi bruger til diverse ting
> denne kører "Windows Server 2003 small business" og den har sådan en smart
> funktion til at logge på den udefra via "Remote desktop"
>
> Jeg kunne godt tænke mig noget lignende på de pc'ere vores kunder køber
> (normalt er det bare 1pc pr. kunde) men jeg har behov for en løsning der er
> så sikker at jeg kan overtale en bank mand til at evt. åbne en port i hans
> firewall til maskinen...

Med det sikkerhedsniveau er der nok kun en ting der er sikkert nok - et
56k modem (eller ISDN), hvor kablet kun er sat i telefonstikket når det
er i brug.

En dial-up forbindelse har den smarte fordel at der kun er en der kan
ringe til den ad gangen, så selv i forhold til kun at åbne en port
i firewall'en i den tid I bruger forbindelsen, er den mere sikker.

Bliver man rigtig hysterisk, kan auto-answer slås fra, så der (udover
at stikket skal sættes i) fysisk skal stå en mand og trykke på "answer"
knappen når du ringer op.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

"Lasse" == Lasse Madsen <spam@electrologic.dk> writes:

> Hej.
> Jeg har et større problem, mit firma levere nogle servere (normalt bare en
> XP maskine) med nogle programmer, vi selv har udviklet til at styre
> bygningsautomation.

...

> Findes der noget som kører over port 80 for vores maskine kan se internettet
> så må man vel også kunne komme den anden vej på en eller anden måde ... evt.
> ved at kundens pc altid loggede på vores server og vi så via den fik kontakt
> eller noget lignende.

> Hvad kan jeg gøre?

Jeg ved ikke om vores remotesupportmodel kan bruges, men det kan da
være at du kan bruge den til noget. Vi laver maskinelle
sorteringsanlæg til lufthavne, postvæsner og den slags. Styringen er
delvist implementeret på en standard Windows 2000 server, delvist på
en PLC. I det projekt jeg arbejder på lige nu er remotesupport
løsningen den at vi har et VPN frem til kundens firewall, der giver os
adgang til det VLAN vores system befinder sig på. Vores VPN er
yderligere begrænset til at det kun er meget få protokoller der kan
køres igennem det, nemlig hvad der skal til for at NetOp har
forbindelse. Vores PLC-programmører bruger nogle andre porte, som jeg
ikke har den fjerneste ide om hvad er, men det er nok heller ikke så
relevant her.

Rent sikkerhedsmæssigt skulle det være til at sælge til selv den mest
paranoide kunde, eftersom man allerede må forvente at deres interne
netværk er segmenteret på en måde så jeres bygningsautomation ikke har
adgang til de økonomiske data.


--
/Wegge
Min holdning til Usenet - <http://wiki.wegge.dk/Usenet>
Min weblog - <http://blog.wegge.dk/>

---

Anders Wegge Jakobsen wrote:
> delvist implementeret på en standard Windows 2000 server, delvist på
> en PLC. I det projekt jeg arbejder på lige nu er remotesupport
> løsningen den at vi har et VPN frem til kundens firewall, der giver os
> adgang til det VLAN vores system befinder sig på. Vores VPN er
> yderligere begrænset til at det kun er meget få protokoller der kan
> køres igennem det, nemlig hvad der skal til for at NetOp har
> forbindelse. Vores PLC-programmører bruger nogle andre porte, som jeg

De andre leverandører bruger:

1) VPN imellem kundens og leverandørens firewalls.
2) VPN imellem kundens firewall og leverandørens VPN router der står på
Internet. Konsultenter kan så etablere en VPN forbindelse til VPN
routeren og derfra bruge en site-site VPN forbindelse til kunden.
3) VPN klient opkobling fra en virtuel maskine til kundes firewall. Jeg
gætter på konsulenten kan koble op via en VPN klient til den virtuelle
maskine.
4) Modem opkobling til et normalt slukket modem. Der bliver monitoreret
af overvågningssoftwaren for at undgå man glemmer at slukke denne.
5) Intel lavede et fjern administrations produktet. Idéen er at kunden
går ind på Jeres support site, og downloader en klient, der via http
sessionen lader Jeres support site overtage serveren. Se mere på
http://www.landesk.com/docs/sb/sb_Remcontrol.pdf

I de fleste tilfælde, hvor det er muligt få man adgang til et system der
er segmenteret ud af resten af netværket med en firewall.

Min favorit er 4, derefter 2.


Desværre har jeg set flere leverandøre, der ikke havde styr på deres
sikkerhed. Fx kan jeg have adgang til deres netværk...hvilket får en til
at tænke.

For lang tid siden havde jeg adgang via en leverandør til dennes kunder.
To gange har jeg været ude for leverandøren havde så lidt styr på deres
firewall, at jeg måtte konfigurer den for dem, efter at have fået fjern
adgang til den.

Fra bankverden kender jeg en sysadm der er meget glad for at spørge
leverandøren hvad de i virkeligheden har brug for...typisk kan han kode
en webapplikationen de kan tilgå via en VPN forbindelse, der så kan
aktivere det som leverandøren har brug for. Mange af hans leverandører
mener pr. default de har brug for admininstrator adgang til hele ADS'et,
men når det kommer til stykket kan det typisk reduceres til noget simpelt.

---

"Anders Wegge Jakobsen" <wegge@wegge.dk> skrev i en meddelelse
news:m3br2jn2zd.fsf@obelix.wegge.dk...
>
> Jeg ved ikke om vores remotesupportmodel kan bruges, men det kan da
> være at du kan bruge den til noget. Vi laver maskinelle
> sorteringsanlæg til lufthavne, postvæsner og den slags. Styringen er

Jeg har så siddet og lavet en del af disse forbindelser til lufthavne og
andre der bruger den slags maskiner.

> delvist implementeret på en standard Windows 2000 server, delvist på
> en PLC. I det projekt jeg arbejder på lige nu er remotesupport
> løsningen den at vi har et VPN frem til kundens firewall, der giver os

Det er en relativ ny måde at gøre det på. Normalt ville der blive benyttet
en ISDN forbindelse til kundens anlæg. Som er begrænset til at 2 måske 3
telefonnumre kan ringe op til anlægget. Og netværket er så adskilt rent
fysisk fra andre netværk. Ikke noget med nogen vlans her. Uha nej da

> adgang til det VLAN vores system befinder sig på. Vores VPN er
> yderligere begrænset til at det kun er meget få protokoller der kan
> køres igennem det, nemlig hvad der skal til for at NetOp har

Husk at lufthavne er lige så hysteriske hvad angår vpn og internet som
banker. Indtil videre har det taget os 6+ måneder at få lavet en vpn
forbindelse til en lufthavn i Asien. Og den er stadig ikke oppe at køre. Det
lokale tekniske personale har ekstremt svært ved at overbevise
projektlederne/cheferne om det sikre i at bruge vpn...

>
> Rent sikkerhedsmæssigt skulle det være til at sælge til selv den mest
> paranoide kunde, eftersom man allerede må forvente at deres interne
> netværk er segmenteret på en måde så jeres bygningsautomation ikke har
> adgang til de økonomiske data.

Jeg vil næsten sige at ISDN løsningen nok er den nemmeste at sælge til selv
den mest paranoide kunde. Og samtidig noget de fleste projektledere/sælgere
også forstår hvad rent faktisk er og hvordan virker. Du leverer en server et
modem/TA og en isdnforbindelse. Og kunden kan så hive kablet ud når der ikke
skal ydes support. Det er noget de fleste mennesker forstår.

--
Mvh
Martin Kiefer
www.kiefer.dk

---

"Martin" == Martin Kiefer <news1@kiefer.dk> writes:

> "Anders Wegge Jakobsen" <wegge@wegge.dk> skrev i en meddelelse
> news:m3br2jn2zd.fsf@obelix.wegge.dk...
>>
>> Jeg ved ikke om vores remotesupportmodel kan bruges, men det kan da
>> være at du kan bruge den til noget. Vi laver maskinelle
>> sorteringsanlæg til lufthavne, postvæsner og den slags. Styringen er

> Jeg har så siddet og lavet en del af disse forbindelser til
> lufthavne og andre der bruger den slags maskiner.

Arbejder du i Aars, eller er den en anden slags maskiner?

>> delvist implementeret på en standard Windows 2000 server, delvist
>> på en PLC. I det projekt jeg arbejder på lige nu er remotesupport
>> løsningen den at vi har et VPN frem til kundens firewall, der giver
>> os

> Det er en relativ ny måde at gøre det på. Normalt ville der blive
> benyttet en ISDN forbindelse til kundens anlæg. Som er begrænset til
> at 2 måske 3 telefonnumre kan ringe op til anlægget. Og netværket er

ISDN er så pokkers dyrt. Derudover er der tilsyneladende en del
steder hvor man slet ikke kan få ISDN. Kina for eksempel.

> så adskilt rent fysisk fra andre netværk. Ikke noget med nogen vlans
> her. Uha nej da

Nu er de systemer vi leverer til lufthavne tvunget af
omstændighederne til at have netværksforbindelse i et eller andet
omfang. Ellers bliver det ret bøvlet af få den rette kuffert på de
rette fly.

>> adgang til det VLAN vores system befinder sig på. Vores VPN er
>> yderligere begrænset til at det kun er meget få protokoller der kan
>> køres igennem det, nemlig hvad der skal til for at NetOp har

> Husk at lufthavne er lige så hysteriske hvad angår vpn og internet
> som banker. Indtil videre har det taget os 6+ måneder at få lavet en
> vpn forbindelse til en lufthavn i Asien. Og den er stadig ikke oppe
> at køre. Det lokale tekniske personale har ekstremt svært ved at
> overbevise projektlederne/cheferne om det sikre i at bruge vpn...

Nu har jeg ikke personlig erfaring med banker, så jeg kan ikke aføre
om lufthavne er værre. Toppen af min personlige hadeliste, hvad angår
bøvlet remote access udgøres af et postvæsen, et andet postvæsen og et
distributionscenter. I nævnte rækkefølge.

>> Rent sikkerhedsmæssigt skulle det være til at sælge til selv den
>> mest paranoide kunde, eftersom man allerede må forvente at deres
>> interne netværk er segmenteret på en måde så jeres
>> bygningsautomation ikke har adgang til de økonomiske data.

> Jeg vil næsten sige at ISDN løsningen nok er den nemmeste at sælge
> til selv den mest paranoide kunde. Og samtidig noget de fleste
> projektledere/sælgere også forstår hvad rent faktisk er og hvordan
> virker. Du leverer en server et modem/TA og en isdnforbindelse. Og
> kunden kan så hive kablet ud når der ikke skal ydes support. Det er
> noget de fleste mennesker forstår.

Prisen på ISDN er sådan at det snart sagt er billigere at sende en
mand afsted

--
/Wegge
Min holdning til Usenet - <http://wiki.wegge.dk/Usenet>
Min weblog - <http://blog.wegge.dk/>

---

"Anders Wegge Jakobsen" <wegge@wegge.dk> skrev i en meddelelse
news:m3y85mkwig.fsf@obelix.wegge.dk...
>
> Arbejder du i Aars, eller er den en anden slags maskiner?
>

Jeg sidder i Aars.

>
> ISDN er så pokkers dyrt. Derudover er der tilsyneladende en del
> steder hvor man slet ikke kan få ISDN. Kina for eksempel.
>

Og ander steder. F.eks. flere steder i USA vil de ikke bruge andet.

> Nu er de systemer vi leverer til lufthavne tvunget af
> omstændighederne til at have netværksforbindelse i et eller andet
> omfang. Ellers bliver det ret bøvlet af få den rette kuffert på de
> rette fly.
>

He he jeps. Men der er flere steder i den private sektor hvor der ikke er
fysisk adgang til firmaets netværk.

> Nu har jeg ikke personlig erfaring med banker, så jeg kan ikke aføre
> om lufthavne er værre. Toppen af min personlige hadeliste, hvad angår
> bøvlet remote access udgøres af et postvæsen, et andet postvæsen og et
> distributionscenter. I nævnte rækkefølge.
>

Nu har jeg ikke nogen hadeliste over anlæg hvor der er bøvlet adgang. Men ja
der er da kunder der er nemmere at komme til end andre. Specielt USA kan
være bøvlet. Vi lavede en opgradering af to anlæg hos en kunde hvor det ene
stod i USA det andet i Europa. I USA var kravet at der blev installeret en
ISDN linie hvor der på det europæiske anlæg kunne bruges vpn. Og vi snakker
samme kunde...

> Prisen på ISDN er sådan at det snart sagt er billigere at sende en
> mand afsted
>

Ja 8 timers remote support til asien over ISDN kan snildt løbe op

--
Mvh
Martin Kiefer
www.kiefer.dk

---

"Martin" == Martin Kiefer <news1@kiefer.dk> writes:

> "Anders Wegge Jakobsen" <wegge@wegge.dk> skrev i en meddelelse
> news:m3y85mkwig.fsf@obelix.wegge.dk...
>>
>> Arbejder du i Aars, eller er den en anden slags maskiner?

> Jeg sidder i Aars.

OK.

>> ISDN er så pokkers dyrt. Derudover er der tilsyneladende en del
>> steder hvor man slet ikke kan få ISDN. Kina for eksempel.

> Og ander steder. F.eks. flere steder i USA vil de ikke bruge andet.

>> Nu er de systemer vi leverer til lufthavne tvunget af
>> omstændighederne til at have netværksforbindelse i et eller andet
>> omfang. Ellers bliver det ret bøvlet af få den rette kuffert på de
>> rette fly.

> He he jeps. Men der er flere steder i den private sektor hvor der
> ikke er fysisk adgang til firmaets netværk.

Ja, der har vi som sagt en del anlæg hvor vi er spærret inde på et
VLAN. Nogle af dem er så gamle at vi kun har en modemforbindelse til
dem, men vi er stadig skubbet ud i et hjørne.

>> Nu har jeg ikke personlig erfaring med banker, så jeg kan ikke
>> aføre om lufthavne er værre. Toppen af min personlige hadeliste,
>> hvad angår bøvlet remote access udgøres af et postvæsen, et andet
>> postvæsen og et distributionscenter. I nævnte rækkefølge.

> Nu har jeg ikke nogen hadeliste over anlæg hvor der er bøvlet
> adgang. Men ja der er da kunder der er nemmere at komme til end

Du skulle prøve at have et job ved siden af som hotliner. Stod det
til vores kunders startudmelding, skulle jeg slæbe en attachemappe med
password-generatorer med mig, hvilket ville nødvendiggøre en
betragtelig forringelse af deres sikkerhed,. Heldigvis har vi (næsten)
holdt os derfra indtil nu. Der er et enkelt postvæsen, hvor vi indgik
et kompromis der hed at vi igonorerede deres "Det er din skyld hvis
der falder et fly ned mens det har post ombord"-disclaimer, mod til
gengæld at hænge på en passwordgenerator der ligger hos deres egen
IT-afdeling.

> andre. Specielt USA kan være bøvlet. Vi lavede en opgradering af to
> anlæg hos en kunde hvor det ene stod i USA det andet i Europa. I USA
> var kravet at der blev installeret en ISDN linie hvor der på det
> europæiske anlæg kunne bruges vpn. Og vi snakker samme kunde...

Yummy!

>> Prisen på ISDN er sådan at det snart sagt er billigere at sende en
>> mand afsted
>>

> Ja 8 timers remote support til asien over ISDN kan snildt løbe op

I den grad. Jeg tror det eneste der er værre er Israel.

--
/Wegge
Min holdning til Usenet - <http://wiki.wegge.dk/Usenet>
Min weblog - <http://blog.wegge.dk/>

---

Martin Kiefer wrote:
> også forstår hvad rent faktisk er og hvordan virker. Du leverer en server et
> modem/TA og en isdnforbindelse. Og kunden kan så hive kablet ud når der ikke
> skal ydes support. Det er noget de fleste mennesker forstår.

Kan man ikke også det samme med en VPN router?

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:4338278b$0$1803$edfadb0f@dread11.news.tele.dk...
> Kan man ikke også det samme med en VPN router?

Joda. Men ofte lader man jo kablet til isdn forbindelse sidde i da der ikke
er trafik eller adgang når der ikke er kaldt op. Mange har den idé at hvis
kablet ikke er taget ud af en vpn forbindelse har hele internettet adgang
til netværket...

--
Mvh
Martin Kiefer
www.kiefer.dk

---

Martin Kiefer wrote:
> "Christian E. Lysel" <sunsite.dk@spindelnet.dk> skrev i en meddelelse
> Joda. Men ofte lader man jo kablet til isdn forbindelse sidde i da der ikke
> er trafik eller adgang når der ikke er kaldt op. Mange har den idé at hvis
> kablet ikke er taget ud af en vpn forbindelse har hele internettet adgang
> til netværket...

Så hiv dog stikket ud, eller strømstikket.

Koster en VPN router ikke mindre end en ISDN linie og ISDN router?

---

Den Mon, 26 Sep 2005 22:08:25 +0200 skrev Christian E. Lysel:
> Martin Kiefer wrote:
>> "Christian E. Lysel" <sunsite.dk@spindelnet.dk> skrev i en meddelelse
>> Joda. Men ofte lader man jo kablet til isdn forbindelse sidde i da der ikke
>> er trafik eller adgang når der ikke er kaldt op. Mange har den idé at hvis
>> kablet ikke er taget ud af en vpn forbindelse har hele internettet adgang
>> til netværket...
>
> Så hiv dog stikket ud, eller strømstikket.
>
> Koster en VPN router ikke mindre end en ISDN linie og ISDN router?

Og et netkabel direkte imellem internet-forbindelsen og bankens
netværk koster endnu mindre.

Dårligt argument sikkerhedsmæssigt.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>>Så hiv dog stikket ud, eller strømstikket.
>>
>>Koster en VPN router ikke mindre end en ISDN linie og ISDN router?
>
>
> Og et netkabel direkte imellem internet-forbindelsen og bankens
> netværk koster endnu mindre.
>
> Dårligt argument sikkerhedsmæssigt.

Samme problemstilling med en ISDN forbindelse.

---

Den Tue, 27 Sep 2005 19:13:10 +0200 skrev Christian E. Lysel:
> Kent Friis wrote:
>>>Så hiv dog stikket ud, eller strømstikket.
>>>
>>>Koster en VPN router ikke mindre end en ISDN linie og ISDN router?
>>
>>
>> Og et netkabel direkte imellem internet-forbindelsen og bankens
>> netværk koster endnu mindre.
>>
>> Dårligt argument sikkerhedsmæssigt.
>
> Samme problemstilling med en ISDN forbindelse.

Ikke forstået. Hvem har argumenteret for at en ISDN forbindelse er
billigere end noget mere sikkert?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>>>>Så hiv dog stikket ud, eller strømstikket.
>>>>
>>>>Koster en VPN router ikke mindre end en ISDN linie og ISDN router?
>>>
>>>
>>>Og et netkabel direkte imellem internet-forbindelsen og bankens
>>>netværk koster endnu mindre.
>>>
>>>Dårligt argument sikkerhedsmæssigt.
>>
>>Samme problemstilling med en ISDN forbindelse.
>
>
> Ikke forstået. Hvem har argumenteret for at en ISDN forbindelse er
> billigere end noget mere sikkert?

Det var ikke et argument, men et spørgsmål.

"Så hiv dog stikket ud, eller strømstikket" var derimod et argument.

---

Den Tue, 27 Sep 2005 22:07:12 +0200 skrev Christian E. Lysel:
> Kent Friis wrote:
>>>>>Så hiv dog stikket ud, eller strømstikket.
>>>>>
>>>>>Koster en VPN router ikke mindre end en ISDN linie og ISDN router?
>>>>
>>>>
>>>>Og et netkabel direkte imellem internet-forbindelsen og bankens
>>>>netværk koster endnu mindre.
>>>>
>>>>Dårligt argument sikkerhedsmæssigt.
>>>
>>>Samme problemstilling med en ISDN forbindelse.
>>
>>
>> Ikke forstået. Hvem har argumenteret for at en ISDN forbindelse er
>> billigere end noget mere sikkert?
>
> Det var ikke et argument, men et spørgsmål.

Hvilket?

> "Så hiv dog stikket ud, eller strømstikket" var derimod et argument.

Problemet er den tid hvor de er sat til. En dialup-forbindelse tillader
normalt kun en indgående forbindelse (ok, en ISDN kan klare to ad
gangen), hvorimod en router kan angribes af andre selvom den
allerede er i brug.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>>>>>>Koster en VPN router ikke mindre end en ISDN linie og ISDN router?
>>Det var ikke et argument, men et spørgsmål.
> Hvilket?

Linien der slutter med et "?"

>>"Så hiv dog stikket ud, eller strømstikket" var derimod et argument.
> Problemet er den tid hvor de er sat til. En dialup-forbindelse tillader
> normalt kun en indgående forbindelse (ok, en ISDN kan klare to ad

I gamle kunne man også angribe telefon linier selvom de var i brug. Ring
til den TDC service der kan fortælle om abonnenten er optaget. Herefter
vil modem forbindelsen blive afbrudt, derefter kan angriberen ringe til
dialin modemet, og hvis han er rigtig "heldig" overtage den gamle
session, uden at skulle validere sig.

Det virker ikke særligt sikkert på mig.

> gangen), hvorimod en router kan angribes af andre selvom den
> allerede er i brug.

Hvilket også er muligt med en modem løsning. Folk er blot ikke klar over
det.

En telefonlinie eller ISDN forbindelse er triviel at udfører
man-in-middle angreb på. Jeg har testet det med succes i Danmark.
Udgifterne lå på 1.000 kr for at etablere et setup som angrebet herefter
kan udføres på. Heldigvis er det muligt at spore angriberen nemt, hvis
man får mistanke til at angrebet finder sted.

En VPN forbindelse skal være sat rigtigt skidt op før det er trivielt at
udfører man-in-middle angreb.

Andre angreb kan være: "ping -p 2b2b2b415448300d", prøv evt. at søg på
google.com. Angrebet kan også pakkes ind i mails, webserver logfiler,
find-selv-på-mere.

---

["Followup-To:" header set to dk.edb.sikkerhed.]
Den Thu, 29 Sep 2005 09:07:17 +0200 skrev Christian E. Lysel:
> Kent Friis wrote:
>>>>>>>Koster en VPN router ikke mindre end en ISDN linie og ISDN router?
>>>Det var ikke et argument, men et spørgsmål.
>> Hvilket?
>
> Linien der slutter med et "?"

Ok, men uanset prisen, ville jeg stadig ikke acceptere en VPN ind
på et bank-netværk.

>>>"Så hiv dog stikket ud, eller strømstikket" var derimod et argument.
>> Problemet er den tid hvor de er sat til. En dialup-forbindelse tillader
>> normalt kun en indgående forbindelse (ok, en ISDN kan klare to ad
>
> I gamle kunne man også angribe telefon linier selvom de var i brug. Ring
> til den TDC service der kan fortælle om abonnenten er optaget. Herefter
> vil modem forbindelsen blive afbrudt, derefter kan angriberen ringe til
> dialin modemet, og hvis han er rigtig "heldig" overtage den gamle
> session, uden at skulle validere sig.

Mangler du ikke stadig at komme forbi at auto-answer er slået fra?

> Det virker ikke særligt sikkert på mig.
>
>> gangen), hvorimod en router kan angribes af andre selvom den
>> allerede er i brug.
>
> Hvilket også er muligt med en modem løsning. Folk er blot ikke klar over
> det.
>
> En telefonlinie eller ISDN forbindelse er triviel at udfører
> man-in-middle angreb på. Jeg har testet det med succes i Danmark.
> Udgifterne lå på 1.000 kr for at etablere et setup som angrebet herefter
> kan udføres på. Heldigvis er det muligt at spore angriberen nemt, hvis
> man får mistanke til at angrebet finder sted.
>
> En VPN forbindelse skal være sat rigtigt skidt op før det er trivielt at
> udfører man-in-middle angreb.

Til gengæld er der en router der har direkte forbindelse til begge
netværk. Angrib den istedet.

> Andre angreb kan være: "ping -p 2b2b2b415448300d", prøv evt. at søg på
> google.com. Angrebet kan også pakkes ind i mails, webserver logfiler,
> find-selv-på-mere.

+++ath0 - virker kun på defekte modems (vist noget med at Hayes havde
et patent på "et halvt sekunds interval").

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
> Mangler du ikke stadig at komme forbi at auto-answer er slået fra?

Ikke dengang, linien var oppe, ifølge modemmet. Dog tror mener jeg ikke
moderne modems lider af denne fejl mere.

>>En VPN forbindelse skal være sat rigtigt skidt op før det er trivielt at
>>udfører man-in-middle angreb.

> Til gengæld er der en router der har direkte forbindelse til begge
> netværk. Angrib den istedet.

Ovenstående angreb, er et angreb på telefon nettet og ikke på modemet.
Ergo du behøver ikke angribe modemet. Endvidere er angrebet billigt.
Ingen normale modems giver beskyttelse. For at opnå beskyttelse skal
trafikken krypteres, med validering af begge parter.

Er det ikke et stort problem?

Jeg har ikke set problemmer på VPN routere der har haft et filter der
kun tillader IPSec og ISAKMPD og som er sat fornuftigt op.

Men jeg kan sætte en modem løsning lige så sikkert op som jeg har løst
til, vha. standard protokoller som PPP, uden at kunne forhindre
man-in-middel angrebet. For at forhindre angrebet skal jeg købe
specielle services, som ikke kan fåes til udlandet.

Hvis vi snakker om en VPN router, der har diverse services slået til,
kan jeg godt forstå dit argument, ellers ikke.

>>Andre angreb kan være: "ping -p 2b2b2b415448300d", prøv evt. at søg på
>>google.com. Angrebet kan også pakkes ind i mails, webserver logfiler,
>>find-selv-på-mere.
>
>
> +++ath0 - virker kun på defekte modems (vist noget med at Hayes havde
> et patent på "et halvt sekunds interval").

Hvilke modems er defekte og hvilke er ikke defekte. Som jeg forstår
problemstillingen er det et gammelt problem, ingen rigtigt gør noget
ved. Er det ikke et problem?


Hvilke VPN router producenter har sikkerhedsproblemmer uden at rette disse?

Det værste de laver er at understøtte usikre algoritmer, fx DES eller
NULL, brug af default passwords, brug af support passwords, diverse
services enablet. De fleste ting kan man konfigurer sig ud af.

---

Den Thu, 29 Sep 2005 23:35:30 +0200 skrev Christian E. Lysel:
> Kent Friis wrote:
>>
>> +++ath0 - virker kun på defekte modems (vist noget med at Hayes havde
>> et patent på "et halvt sekunds interval").
>
> Hvilke modems er defekte og hvilke er ikke defekte. Som jeg forstår
> problemstillingen er det et gammelt problem, ingen rigtigt gør noget
> ved. Er det ikke et problem?

Jeg havde egentlig den opfattelse at problemet er løst for mange år
siden.

> Hvilke VPN router producenter har sikkerhedsproblemmer uden at rette disse?

De ting der kom frem fra Cisco da nogen kopiere sourcen til noget af
deres router-software gav indtryk af at det firma har samme indstilling
til sikkerhed som Microsoft - altså "hvis bare de ikke kan se sourcen,
kan de ikke finde hullerne".

Der var sågar snak om at skidtet var så fuld af huller at man blev nødt
til at skrive det hele om når nu folk havde set koden.

Men man kan self. bare holde sig til producenter der er mere seriøse
end Cisco.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Lasse Madsen wrote:
> Hvad kan jeg gøre?

Spørg dine kunder.

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:43345016$0$1824$edfadb0f@dread11.news.tele.dk...
Lasse Madsen wrote:
> Hvad kan jeg gøre?

Hvad med Citrix GoToMyPC

/Robert

---

> > Hvad kan jeg gøre?
>
> Hvad med Citrix GoToMyPC
>
Fungerer godt og stabilt her.

Per

---

> Jeg kunne godt tænke mig noget lignende på de pc'ere vores kunder køber
> (normalt er det bare 1pc pr. kunde) men jeg har behov for en løsning der
> er så sikker at jeg kan overtale en bank mand til at evt. åbne en port i
> hans firewall til maskinen...
>
> Findes der noget som kører over port 80 for vores maskine kan se
> internettet så må man vel også kunne komme den anden vej på en eller anden
> måde ... evt. ved at kundens pc altid loggede på vores server og vi så via
> den fik kontakt eller noget lignende.
>
> Hvad kan jeg gøre?
>
Prøv at kigge på http://www.supportfromweb.com . Også Netviewer One2one
kunne være værd at se på for dig. Sidstnævnte anvendes bl.a. af TDC-firmaet
www.servicehosting.dk som leverer online C5 og Axapta-løsninger. Jeg var til
en produkt-præsentation hos servicehosting for nylig hvor de bla. fortalte
om dette program og hvor sikkert det er. Bl.a. skulle det være godkendt af
flere tyske pengeinstitutter.

mvh
Jesper

---

"Lasse Madsen" wrote
>
> Desværre er de fleste af vores kunder banker, især banker i udlandet og
> lignende og de er ikke meget for at åbne deres firewalls for alle porte og
> tillade hvad som helst det er bare utroligt dyrt at rejse til Isral,
> Norge eller tyskland for at rode med en pc fordi brugeren minimere ens
> program med "krydset" i windows applikationen.... i 9 ud af 10 tilfælde vi
> bliver kaldt ud er det bruger fejl og det koster mellem 6 og 13.000kr hver
> gang det er efterhånden både træls for vores kunder og os selv.
>
I første omgang så bør I overveje om det ikke ville være mere
hensigstmæssigt at programmet kører som en service
Så brugerne ikke uforvarende lukker programmer eller logger af maskinen

> Jeg kunne godt tænke mig noget lignende på de pc'ere vores kunder køber
> (normalt er det bare 1pc pr. kunde) men jeg har behov for en løsning der
> er så sikker at jeg kan overtale en bank mand til at evt. åbne en port i
> hans firewall til maskinen...

Vores kontor i Danmark servicere vores egen middleware i hele Skandinavien
I forb med udvikling/test/opgradering/support har vi normalt adgang til
kundens netværk på den ene eller anden måde

Adgangen til kundens netværk er implementeret lige så forskelligt som der er
kunder

Nævnt i flæng:
Secure Remote klient med keycard evt krydret med bestemt ip på klienten
Cisco VPN med/uden certifikat
Stonegate med keycard bestem ip på klienten
Dialin med/uden dialback til forudbestemt nummer evt krydret med bestemt ip
på klienten
Remote Desktop igennem firewall hvor der er bestemt ip på klienten
Citrix Metaframe med logon igennem Firewall og remote desktop på citrix
serveren

Typisk for de fleste kunder så skal den brugerkonto vi har på netværket
åbnes
Vi har så en kortere periode (et par dage/en uge etc) hvor kontoen er åben

Mange steder er det een dedikeret personlig konto i stedet for en generel
(ubekendt) support konto

Nogle få steder kan vi ikke få adgang til netværket
Det er så med i aftalen at transport +samlet forbrugt tid bliver faktureret
til dagspris
Fx i tilfælde hvor vi skal onsite for at lave nyudvikling/opgrdering etc

Håber det kan give lidt inspiration

- Peter

---

Jeg er ikke helt sikker på hvordan det virker, men WebEx (www.webex.com) kan
måske være en løsning.

Jeg så en konsulent bruge det forleden dag, hvor personen skulle have hjælp
fra Frankrig (og vi sad på sjælland) og ved at join'e WebEx mødet kunne vi
give den anden part fuld adgang til serveren.

Det krævede en ActiveX komponent installeret på serveren, men ellers blev
der ikke åbnet noget i firewalls etc. (Om det var åbent i forvejen skal jeg
ikke kunne sige - tror det ikke)


Jeg ved også Microsoft premier support har/bruger noget lignende når de skal
ind på servere rundt i verden - jeg ved ikke om det er det samme eller om
det er noget de selv har skruet sammen.

"Lasse Madsen" <spam@electrologic.dk> wrote in message
news:4333d012$0$78282$157c6196@dreader1.cybercity.dk...
> Hej.
>
> Jeg har et større problem, mit firma levere nogle servere (normalt bare en
> XP maskine) med nogle programmer, vi selv har udviklet til at styre
> bygningsautomation.
>
> Nogle gange ønsker vores kunder at ændre opsætning eller har problemer med
> diverse tingeltangel som kræver at man ændre på opsætning i vores program
> mv.
>
> Desværre er de fleste af vores kunder banker, især banker i udlandet og
> lignende og de er ikke meget for at åbne deres firewalls for alle porte og
> tillade hvad som helst det er bare utroligt dyrt at rejse til Isral,
> Norge eller tyskland for at rode med en pc fordi brugeren minimere ens
> program med "krydset" i windows applikationen.... i 9 ud af 10 tilfælde vi
> bliver kaldt ud er det bruger fejl og det koster mellem 6 og 13.000kr hver
> gang det er efterhånden både træls for vores kunder og os selv.
>
> Vi har i dag en server stående i sønderjylland vi bruger til diverse ting
> denne kører "Windows Server 2003 small business" og den har sådan en smart
> funktion til at logge på den udefra via "Remote desktop"
>
> Jeg kunne godt tænke mig noget lignende på de pc'ere vores kunder køber
> (normalt er det bare 1pc pr. kunde) men jeg har behov for en løsning der
> er så sikker at jeg kan overtale en bank mand til at evt. åbne en port i
> hans firewall til maskinen...
>
> Findes der noget som kører over port 80 for vores maskine kan se
> internettet så må man vel også kunne komme den anden vej på en eller anden
> måde ... evt. ved at kundens pc altid loggede på vores server og vi så via
> den fik kontakt eller noget lignende.
>
> Hvad kan jeg gøre?
>
> M.v.h.
> Lasse Madsen
>