Valg av utstyr til bedriftsnett

[petterg]

Skal bygge et nett som er noe mer omfattende enn det jeg har vært med på før. Trenger litt hjelp til valg av utstyr. Vi har 3 Cisco 3550 bokser stående ubrukt, som sikkert kan komme til nytte her.

 

Skisse over planlagt nett:

 

Det er en ekstra bedrift med i planen. De anses som et påheng når vi likevel skal legge fiber til bygningen.

Det vi er på jakt etter er utstyr for boksene merket [Firewall / router / vlan]. (Dette kan gjerne være flere bokser koblet sammen)

 

LAN1 og LAN2 er de to nettene som skal være koblet sammen. Disse skal ha failover for internetttilkobling mellom hverandre. (Om forbindelsen LAN1-PE1 dør skal internetttrafikk routes via fiber til PE2, og tilsvarende for LAN2.)

LAN1 har i tillegg en failover internet til SHDSL.

Servere på LAN1 skal ha failover servere på LAN2. Man skal kunne kople seg til disse LANene med VPN.

 

Gjestelinjene begge steder tilbys bare internett.

Det er et [secure LAN] som skal ha tilgang til servere på LAN1 og LAN2. Det skal også være mulig fra LAN1 og LAN2 å logge seg på [secure LAN] via VPN.

 

"Ekstra kunden" skal ha tilgang til internett, og mulighet til å koble seg til fra hjemmekontorer.

 

 

Det trengs VPN servere for LAN1, LAN2, Secure LAN og LAN Customer. På alle disse LANene er det egen domene kontroller med Active Directory (Win2003 server) Det er ønskelig at VPN innlogging skal sjekke brukernavn mot domenekontrollerene på de respektive LANene. I tillegg ønskes autentisering med kode fra sikkerhetskort, usb pinne eller sms.

 

Fiberforbindelsen mellom LAN1 og LAN2 må være sikret slik at uvedkommende ikke kan koble seg på noen LAN via denne. Jeg er usikker på sikkerheten til VLAN - hvor vanskelig er det å avlytte trafikk hvis man har tilgang på fysiske patchepunkter mellom VLAN switchene? Autentisering av utstyr med 802.1x kan kanskje hjelpe noe. Alternativ løsning er å kjøre en høyhastighets VPN mellom LANene.

[sunbug]

Hva jeg kan si er at dette er mulig å sette opp med et par 'nix bokser med nok nettkort.. Stabiliteten er vel neppe noe å klage på. Ytelsen kan man skalere for, men ser fortsatt ikke for meg at jeg ville ha satt opp noe slikt i en bedrift.

 

Tipper du må over på noen litt kraftigere routing switches med firewall løsninger innebygget. Cisco har helt sikkert løsninger på det der. Helst sikkert andre som har det også, men kommer ikke på noen konkrete navn.

[petterg]

Både Cisco, Sonicwall, Firewall One, Watchguard og sikkert flere har utstyr som jeg tror kan brukes. Problemet er bare at det finnes som mye å velge i at valget blir vanskelig. Jeg vet ikke hva som egentlig kreves av utstyret for å få til dette.

 

Selskapet som skal ha dette har unix-skrekk, så det er ikke et alternativ (med mindre man lager en boks som ikke ser ut som noen pc, og har et webgrensesnitt for admin.)

[knut]

At det er mye å velge i har du helt rett i. Watchguard har slitt med økonomien det siste året, og er nå kjøpt opp av et investeringsselskap. I tillegg har de så vidt jeg vet ikke noe særlig med distributører her til lands lengre.

 

Cisco, Fortinet, Juniper, Check Point, NetASQ osv er gode alternativer, siden oppsettet ser såpass komplisert ut bør du vurdere å sette noen spesialister på saken, eller få tilbud fra en leverandør som også kan gi support på produktet.

 

De store produsentene leverer som oftest alltid gode produkter, men det er ofte store forskjeller i pris og antall interfaces som kan benyttes. For eksempel tilbyr de fleste av disse produktene VLAN-støtte slik at man ikke trenger et utall fysiske interfaces, men dele det opp i VLAN og ut på switchene.

[lohelle]

Både Cisco, Sonicwall, Firewall One, Watchguard og sikkert flere har utstyr som jeg tror kan brukes. Problemet er bare at det finnes som mye å velge i at valget blir vanskelig. Jeg vet ikke hva som egentlig kreves av utstyret for å få til dette.

 

Selskapet som skal ha dette har unix-skrekk, så det er ikke et alternativ (med mindre man lager en boks som ikke ser ut som noen pc, og har et webgrensesnitt for admin.)

7392410[/snapback]

 

Sånn jeg ser det så mangler du stort sett bare et par routere.. Særlig siden du har 3550-switcher fra før!

Siden du allerede HAR cisco fra før så kan jeg komme med følgende forslag:

 

la Cisco 3550 være "firewall, router, vlan switch" internt i nettet. Opprett vlan for de forskjellige sonene her og kjør mest mulig intern routing gjennom disse. Det som må NAT'es (dvs Internet osv, om dere ikke har et HAV av public ip-adresser) pluss VPN kan dere kjøre gjennom for eks et par Cisco 2821 routere (2 x gigabit) (advanced security bundle). Routerene kjører også den eksterne firewall-delen

Dere vil nok klare dere med 1841 routere også (mye billigere)

 

Det dere da trenger er 2 x cisco routere

1. CISCO1841-HSEC/K9 har VPN-AIM og støtter hundrevis av VPN tunneller. Har 2 x 10/100 Mbit router-porter

Denne koster omtrent 12000 kr (eks mva)

 

eller

2. CISCO2821-HSEC/K9 har også VPN-AIM og er kraftigere enn 1841 osv

Denne har 2 x gigabit porter (koster ca 28000 kr eks mva)

 

Begge har firewall, VPN, NAT og alt som trengs.. Cisco 3550'ene trenger eventuelt noen fiber-gbics..

 

Jeg tror dette skal være nok jeg. Resten gjøres med access-lists, routing protokoller osv. routerene kommer inn i skissen der "some kind of box" står..

 

oppsettet du kom med var rimelig stort, men bør som sagt kunne gjøres med dette utstyret.

 

edit: jeg pleier å kjøre layer3-switch i front (mot fiber) og route DMZ-sonene direkte i disse switchene. Dette gir MEGET god ytelse og lar deg route wire-speed mellom DMZ-sonene. Dette kan være fornuftig her også. Orker ikke komme med en hel skisse nå.. hehe

Endret 30. november 2006 av lohelle

[petterg]

"some kind of box" er en fysisk boks nettleverandøren setter opp og har ansvar for. Nå viser det seg at disse faktisk er Cisco 1841!

Da skulle det være grei løsning å sette en 3550 med fiber gbic i hver ende av fiberen. Sette opp et vlan som interntrafikk mellom lan1 og lan2, og et vlan i hver retning for internetttrafikk (i failover situasjoner).

 

Men 3550'ne kan vel ikke styre noe failover? altså trengs det en router til for dette, samt at den må sørge for permanent vpn mellom lan1 og lan2 selv over direkte fiberen.

[lohelle]

"some kind of box" er en fysisk boks nettleverandøren setter opp og har ansvar for. Nå viser det seg at disse faktisk er Cisco 1841!

Da skulle det være grei løsning å sette en 3550 med fiber gbic i hver ende av fiberen. Sette opp et vlan som interntrafikk mellom lan1 og lan2, og et vlan i hver retning for internetttrafikk (i failover situasjoner).

 

Men 3550'ne kan vel ikke styre noe failover? altså trengs det en router til for dette, samt at den må sørge for permanent vpn mellom lan1 og lan2 selv over direkte fiberen.

7411847[/snapback]

 

har dere ikke tilgang til disse 1841'ene da? eller kan dere eventuelt få DE til å sette opp nødvendig config..?

Løsningen er egentlig "komplett" den så lenge dere kan få tilgang til 1841-boksene.. Blir liksom så unødvendig å sette opp to EKSTRA cisco routere (av samme type til og med) som ISP..

Men egentlig tviler på dere får tilgang på cisco router pga at ISP har ansvar frem til denne og ikke videre..

 

3550 har failover, men den krever sannsynligvis BRUDD på link for å slå inn.. routerene har IP SLA (+ for eks track rtr som kan gjøre om aktive routes basert på at trafikk faktisk kommer frem til en server/router på "internet")

 

Regner med det ender opp med at dere må kjøpe inn ekstra routere jeg.. Om/når dere får dette så kan du sende en PM om du vil ha litt hjelp.

Endret 3. desember 2006 av lohelle

[petterg]

Ja, mange takk for hjelp og tilbud om mer hjelp.

Skal prøve å smøre isp litt for å få tilgang på routerene.

 

Men må ikke 1841 routerene stå på andre siden av switchene for å kunne kjøre vpn over direktefiberen? Det spørs om ISP går med på å sette switchene på andre siden av routeren...

 

(Teknikere hos både HP, 3com, Astaro og Sonicwall har nå bekreftet at det er fullt mulig for en med tilgang til patchepaneler og litt kunnskap å avlytte trafikken på vlan. Uten 802.1x autentisering vil en slik person også få relativt enkel tilgang til LANene. Merkelig at Kredittilsynet ikke har tenkt på dette!)

[tyldum]

(Teknikere hos både HP, 3com, Astaro og Sonicwall har nå bekreftet at det er fullt mulig for en med tilgang til patchepaneler og litt kunnskap å avlytte trafikken på vlan. Uten 802.1x autentisering vil en slik person også få relativt enkel tilgang til LANene. Merkelig at Kredittilsynet ikke har tenkt på dette!)

7414258[/snapback]

Regner med det er Datatilsynet du mener?

 

Med tilgang til kobberkabelen kan du avlytte det som går over kobberen, ja. Det er det vel ingen kyndige som påstår man ikke kan. Et sikret nett må enten ha ende-til-ende-kryptering eller kablene må være fysisk beskyttet.

 

VLAN gir deg ingen ekstra sikkerhet over mediet, kun internt i switchen. 802.1x vil heller ikke hjelpe deg mot passiv avlytting, da det kun er en protokoll for autentisering og ikke kryptering.

 

De delene av mediet mellom avsender og mottaker som du ikke stoler på må du kryptere deg gjennom, så enkelt er det. (Og verken VLAN eller 802.1x har noe med kryptering å gjøre)

[lohelle]

tyldum har rett her (som vanlig)

 

det er ikke noe problem å sette layer3 switch i front (cisco 3550) så lenge ISP tillater dette. VPN er heller ikke noe problem i denne sammenheng. Husk at du kan opprette vlan gjennom link mellom router og switch også! Men switcher i front er ikke nødvendig/vits i uten at det er veldig mye trafikk. Switcher har også begrensede muligheter fil ghenkjenning av protokoller osv (som for eks inspect og nbar). Switcher er derimot MEGET raske til å route pakker med lav forsinkelse.

 

Er det virkelig så hemmelig og viktig data at man må beskytte seg for den usannsynlige sjansen at noen vil lytte på kablene (svææært dyrt utstyr) og få tilgang til data den veien.. ? da er det vel større sjanse til at de stjeler en PC som allerede har data eller tilgang til data...

[tyldum]

Verdt å merke at i tillegg til kostbart utstyr, har trolig inntrengeren tilgang til både servere, skrivere, kopimaskiner og muligens arkiv når de først har muligheten til å gjennomføre dette. Tipper uansett at du finner mye av disse hemmelige dataene i papircontaineren i bakgården

 

Man kan forsåvidt aldri bli FOR sikker, men jeg tror du har en haug med andre achilles-hæler å bekymre deg for før dette. Sikkerheten må være jevn hele veien, fra måten sentralbordet svarer telefonen til teknisk sikkerhet. Det svakeste leddet vil fremdeles sette risikonivået.

[petterg]

Det er nok ingen som kommer til å avlytte kabelen, men noen kan henge seg på i et patchepanel. Den går via flere patchepanelere utenfor lokalene før den kommer frem.

 

Nivået på dataene kan vel sammenlignes med at de som alltid har ønsket seg en kode som gjør at uttak i minibanken ikke blir registrert faktisk kan finne en slik blandt de dataene som overføres.

 

Kredittilsynet har et ansvar for å gi rettningslinjer for datatrafikk mellom f.eks banker. De viser til riktignok til datatilsynet ved endel tilfeller, men poenget her var at f.eks banker faktisk får lov å kjøre vlan uten ytterligere kryptering mellom lokasjoner.

Nett og utstyrsleverandører mente også at vlan var så sikkert at vpn bare var et ledd som setter ned hastigheten. Noen har nok stolt på disse. Da kan vi regne med at det finnes endel vlan rundt om som burde vært sikkret.

 

Et problem med å bruke 1841 routerene fra ISP er jo at ISP brått har tilgang til LANet. Tviler på at ISP går med på å sette disse til å ikke akseptere innlogging fra utsiden. Da må det faktisk en ekstra router til.

På lokasjonen med LAN1 må det være en router med failover internetrouting mellom PE1, VLANet til PE2 og shdsl. Den trenger porter for 2 separate LAN+3DMZ. Den må også ha en VPN server for forbindelsen LAN1-LAN2. (Så langt har jeg ikke sett noen router som har failover mellom 3 wan porter.)

På siden med LAN2 trengs en router med like mange porter på LAN siden, men den trenger en port mindre på WAN siden. Og den trenger å være vpn klient for LAN1-LAN2.

 

Neste "problem" er alle innkommende vpn forbindelsene. HVert lan har sin egen autentiseringsserver. Routere med vpn server kan vel ikke settes til å autentisere mot mer enn en server?

[lohelle]

Det er nok ingen som kommer til å avlytte kabelen, men noen kan henge seg på i et patchepanel. Den går via flere patchepanelere utenfor lokalene før den kommer frem.

 

Nivået på dataene kan vel sammenlignes med at de som alltid har ønsket seg en kode som gjør at uttak i minibanken ikke blir registrert faktisk kan finne en slik blandt de dataene som overføres.

 

Kredittilsynet har et ansvar for å gi rettningslinjer for datatrafikk mellom f.eks banker. De viser til riktignok til datatilsynet ved endel tilfeller, men poenget her var at f.eks banker faktisk får lov å kjøre vlan uten ytterligere kryptering mellom lokasjoner.

Nett og utstyrsleverandører mente også at vlan var så sikkert at vpn bare var et ledd som setter ned hastigheten. Noen har nok stolt på disse. Da kan vi regne med at det finnes endel vlan rundt om som burde vært sikkret.

 

Et problem med å bruke 1841 routerene fra ISP er jo at ISP brått har tilgang til LANet. Tviler på at ISP går med på å sette disse til å ikke akseptere innlogging fra utsiden. Da må det faktisk en ekstra router til.

På lokasjonen med LAN1 må det være en router med failover internetrouting mellom PE1, VLANet til PE2 og shdsl. Den trenger porter for 2 separate LAN+3DMZ. Den må også ha en VPN server for forbindelsen LAN1-LAN2. (Så langt har jeg ikke sett noen router som har failover mellom 3 wan porter.)

På siden med LAN2 trengs en router med like mange porter på LAN siden, men den trenger en port mindre på WAN siden. Og den trenger å være vpn klient for LAN1-LAN2.

 

Neste "problem" er alle innkommende vpn forbindelsene. HVert lan har sin egen autentiseringsserver. Routere med vpn server kan vel ikke settes til å autentisere mot mer enn en server?

7419715[/snapback]

 

dette med failover er ikke noe problem. Du kan koble MANGE tilknytninger som skal kjøres failover mot. Du bare kjører failover mot en vlan interface i steden for en "fysisk" interface. Dessuten så kan du kjøpe flere interfaces (wic-moduler) til 1841.

 

Det med flere authentiseringsservere er jeg litt usikker på. Vet at det er mulig å bruke mange radius servere, men mistenker dette er KUN for redundans..

[petterg]

For vpn må det vel være forskjellig autentiseringsservere avhengig av hvilken hvilken ip vpn klienten kobler seg mot. Tviler på at noen ferdigbokser har denne muligheten, så da trengs det en ekstra vpn server på alle LAN. Prismessig kan man vel da velge en ekstra router med dobbel wan på alle LANene og dermed tar jo denne seg av failoverdelen også.

 

Men når vi snakker om vpn for hjemmekontorbruk - brukere er for dårlig med passord. Uansett hvor mye man maser skrives passord ned. Derfor må en ekstra authentiseringsløsning til for [secure lan] og lan1/2. Dette kan være kodekort/kalkulator som i mange nettbanker eller enganskode på sms. Hvem har løsninger på sånt?

[knut]

Nå er jeg ikke godt kjent med alle brannmurtyper, men f.eks. Fortinet har noe de kaller VDOM (Virtual domain), som gjør at du får en egen konfigurasjon til de områdene du ønsker. Noe som vil gi deg muligheten til å sette opp egne VPN-servere for hvert lokalnett med hver sin autentiseringsserver.

 

Jeg er som sagt ikke sikker på hvordan de andre gjør det i denne sammenhengen, men jeg vil tro at det er andre som kan klare det på den samme måten også.

[tyldum]

Vil anbefale deg å lage skikkelig kravspek og be om tilbud på løsninger hos leverandører (min arbeidsgiver, Umoe IKT, er en av mange som kan skreddersy dette for deg).

[ftpman]

Nå er jeg ikke godt kjent med alle brannmurtyper, men f.eks. Fortinet har noe de kaller VDOM (Virtual domain), som gjør at du får en egen konfigurasjon til de områdene du ønsker. Noe som vil gi deg muligheten til å sette opp egne VPN-servere for hvert lokalnett med hver sin autentiseringsserver.

7420821[/snapback]

 

Vil bare nevne at Fortinet/Fortigate bokser er noe som er en smule sært og jobbe med og at en aldri veit om funksjoner kommer til eller blir fjernet fra versjon til versjon. Samt at en aldri er sikker på at boksen skal komme opp som forge gang du startet den om du kjører oppgraderinger, feilmeldingene er også rimelig intetsigende i mine øyne.

 

Men nå liker jeg best Juniper bokser jeg da så anbefaler det som alltid Disse støtter også virtuelle system om en bruker dei større boksene.

[sk1rty]

Men når vi snakker om vpn for hjemmekontorbruk - brukere er for dårlig med passord. Uansett hvor mye man maser skrives passord ned. Derfor må en ekstra authentiseringsløsning til for [secure lan] og lan1/2. Dette kan være kodekort/kalkulator som i mange nettbanker eller enganskode på sms. Hvem har løsninger på sånt?

7420322[/snapback]

Jeg vil anbefale å få tak i passordkalkulator.

 

Vi har dette hos oss. Der hjemmekontor brukerne logger seg på med brukernavn og passord i tillegg til en kode som passordkalkulatoren generer. Smartkort er vell også et alternativ der. Smartkort får du også gratis om du er medlem av Norsk-tipping.

 

Hvilken bedrift er egentlig dette? Hvor strengt trenger egentlig sikkerhetsnivået å være?