gummitarzan Skrevet 7. mai 2007 Rapporter Del Skrevet 7. mai 2007 Jeg driver å skriver en case-oppgave på skolen om VPN. Vil gjerne ha kommentarer og evnt andre ideer til hvordan jeg har tenkt å gjennomføre dette. Oppgaven er kun teoretisk, jeg slipper altså å faktisk å sette det opp. kostnader og lignende spiller ingen rolle. Har en casebedrift, med 2 avd, en salgs og en utviklings-avdeling. Begge avd har behov for vpn, for hjemmekontor og selgere på reise. Det jeg i grove trekk ser for meg er et intent nettverk med 2 vlan, et for salgs-avd og et for utviklings-avd. En firewall ytterst,(mot internett) og en firewall internt mellom vlan. VPN protokollen jeg har tenkt å bruke blir l2pt/ipsec med nat-t, som blir dekryptert på en vpn-server bak første firewall. På klientsiden satser på jeg på en sterkt bruker auth, siden vpn tunnellen må gå kryptert gjennom firewallen mellom internett og intern-nett. Høres dette ut som en bra løsning? På forhånd takk for kommentarer og annen hjelp =) Lenke til kommentar
DemoniZer Skrevet 8. mai 2007 Rapporter Del Skrevet 8. mai 2007 Ja, dette høres da helt greit ut i mine ører. Har erfaring med VPN over Cisco. Hvorfor ikke tegne opp et lite diagram? Lenke til kommentar
joachimsandvik Skrevet 8. mai 2007 Rapporter Del Skrevet 8. mai 2007 Jeg ville droppet den ene brannveggen og satt VPN serveren ut på en DMZ. Videre ville jeg implementert sertifikater eller engangs passord på de eksterne klientene. Er du litt ekstra paranoid kan du også lage et eget Wlan dmz så du enkelt kan gi eksterne wlan brukere som er tilbake på kontoret, kun tilgang til de resurser som de trenger. Erfaringsvis er det eksterne mobile brukere som oftest drar med "dritt" inn i nettet. Dette er ikke en fasit men mitt forslag. Basert på ca sånn vi har det. Lenke til kommentar
tyldum Skrevet 8. mai 2007 Rapporter Del Skrevet 8. mai 2007 Mitt innspill er å benytte SSL-vpn for klientene. IPsec for folk på farten kan bli en prøvelse og vil kunne bli offer for restriktive brannmurer. (Produktmessig ser vi vel på Cisco ASA 5505/5510 alt etter størrelse. Støtter både SSL og IPsec-vpn). Problemstillinger du bør tenke nøye gjennom: * Kan du stole på klientene? Dersom folk benytter hjemmepc eller andre maskiner du ikke har kontroll på kan det lønne seg å terminere klientene i et eget VLAN og så kunne filtrere dem litt. Det finnes også mer avanserte løsninger som sjekker om AV er oppdatert o.l før den slipper klienten inn (personlig liker jeg ikke den løsningen og vil helle isolere klientene i et eget nett). * Klienter bak NAT. * Oppsett av VPN på klientene. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå