Toon posts:

[Security] Advies voor situatie.

Pagina: 1
Acties:
  • 211 views sinds 30-01-2008
  • Reageer

maandag 13 februari 2006 10:41

Acties:
  • Impuls
  • Registratie: Augustus 2003
  • Laatst online: 08-12-2025

Impuls

Topicstarter
Beste,

Ik hoop dat ik hier in de juiste sub forum zit, ik vond dit de beste locatie.

In m'n huidig bedrijf wensen ze iets te doen aan de beveiliging van het bedrijf (firewall, vpn beveiliging,...)

Op de link vind je een schets van de huidige situatie :

http://users.pandora.be/Kej/company.jpg

Ons bedrijf heeft dus twee routers.
1)
De ene wordt gebruikt om de winkels zich te laten verbinden via ftp en zo iedere morgen
een update te laten binnenhalen.
Tevens zijn er externe mensen die zich via vpn verbinden voor mails, data en remote affaires te doen.
(via die 3 com officeconnect dat ik om de twee weken wel eens mag resetten)
Ook onze websites zijn via die lijn te bereiken op server 1.

2)
De andere wordt gebruikt voor ons internet verkeer, exchange server en een secured vpn tunnel provided by Belgacom naar site Z. Deze dient enkel en alleen voor sessies(5250 emulatie) op onze as400(op site X ..server staat niet op plan).

Nu heeft er een bedrijf ons voorgesteld om een watchguard x-700 met 10muvpn licenties te plaatsen achter router B samen met Vasco Digipass G3 (5stuks).

Wat is volgens jullie een veilige oplossing.
Vinden jullie die x700 en G3 digipasses geen overkill...
Zit je sowieso al niet met een probleem door die 2 routers...
Aja router A is eigenlijk door iedereen gekend...ping naar onze webadres en je zit al aan ons extern
ip adres...plus dat hier niemand log bestanden bekijkt, 50% van het personeel als administrator op de servers zit te werken, internet zonder proxy wagenwijd openstaat,...
Plus zitten ze volgens mij de verkeerde kant van het bedrijf te beveiligen. (indien je de twee routers laat bestaan..)

Graag jullie advies, mening ...
Alles wordt als opbouwende kritiek beschouwd.

Bedankt
Bjorn

None

maandag 13 februari 2006 11:28

Acties:

Verwijderd

Tsja, wat is overkill... dit kan je alleen zelf bepalen, alleen jij weet namelijk de waarde van de gegevens op het netwerk en kan dat relativeren met de kosten die gemaakt worden om dit te beveiligen.

Persoonlijk vind ik de Digipasses vrij duur, een kleine 300 euro per token vind ik een hoop geld, maar zoals ik al zei: alleen jij/je bedrijf kan bepalen of dit opweegt tegen de sensitiviteit van je gegevens. De Watchguard ken ik niet (goed), wel kan ik je een vergelijkbaar apparaat aanbevelen: http://www.astaro.com/firewall_network_security/asg110_120

Deze gebruiken wij hier in combinatie met een Astaro firewall, en dit draait werkelijk als een zonnetje. Heel makkelijk te onderhouden, en wat ook mooi is is dat de machines gewoon Linux draaien. Je kan zowel via een webinterface als SSH dat ding beheren, iets wat ik erg fijn vind. En ik vind de vormgeving/kleurtjes cool, maar da's niet erg relevant in deze. :)

Oh, enne:
Plus zitten ze volgens mij de verkeerde kant van het bedrijf te beveiligen.
Dat denk ik ook, als 50% van het personeel als administrator op servers aan het werk is. Dan kan je dure hardware kopen wat je wilt, of je er degelijk wat mee op schiet is heel sterk de vraag. Beveiliging moet je helemaal doen, niet deels.

[ Voor 16% gewijzigd door Verwijderd op 13-02-2006 11:30 ]

maandag 13 februari 2006 12:20

Acties:
  • Impuls
  • Registratie: Augustus 2003
  • Laatst online: 08-12-2025

Impuls

Topicstarter
Alvast bedankt voor je reactie,

Maar wat ik wou zeggen met verkeerde kant van het bedrijf beveiligen, dan bedoelde ik de verkeerde router die ze beveiligen.
Router B is door niemand extern gekend en bevat een soort firewall oplossing van Belgacom.
Router A is door iedereen gekend en wordt beveiligd door een 3com officeconnect......

De reden dat ze zo een vpn oplossing zouden zetten is om dan die vpn tunnel van site Z op een andere manier te kunnen opbouwen...waste of time & money als je het aan mij vraagt...

Graag zo veel mogelijk reacties...hoe meer kritiek hoe beter.

Bedankt
Bjorn

None

maandag 13 februari 2006 16:51

Acties:

Verwijderd

Als je je 3com ding vervangt door de x700 en je neemt een weekendje de tijd om de configuratie helemaal piekfijn te maken, dan kun je hier al mee zeggen dat je je netwerk aanmerkelijk beter beveiligd hebt.

De Watchguard Firebox X-700 is een prachtig apparaat dat je uitstekend als multi-NAT router / firewall / VPN server / Certificate server / HTTP-SMTP-POP-etc.-proxy kunt gebruiken. Die digipasses die zie ik voor het eerst, en ik snap eerlijk niet wat je daar mee moet dat je niet al gewoon kunt met je Watchguard. Als je een X700 koopt zitten er 100 (!!!) BOVPN licenses bij. Dat houdt in dat je 100 filialen tegelijk via IPSec VPN met je hoofdkantoor kunt verbinden. RUVPN werkt óf via PPTP via RADIUS authenticatie of authenticatie op de firebox zelf (dus usertjes overtikken in de config van de firebox) óf via IPSec met een mooi client pakketje en authenticatie op je Active Directory.

Je kunt de diverse proxy's van de watchguard best gebruiken om bijvoorbeeld dat wijd open internet een heel stuk dicht te knuppelen, je exchange server te vergrendelen enzovoorts. Als je die Watchugard koopt krijg je er 3 maanden live support bij, wat betekent dat je voor de configuratie een paar support guru's van Watchguard kunt vragen mee te denken en adviezen te geven.

Ik zou persoonlijk die 3com door het dichtstbijzijnde raam mikken en een Watchguard ophangen. Over digipasses hoor je me trouwens niet, want ik snap niet wat ze daar mee willen bereiken dan.

maandag 13 februari 2006 17:34

Acties:

Verwijderd

Ik zie niet direct het nut om een X700 oplossing achter router B te zetten, zeker niet als die niet eens publiek gekend is.
Ik veronderstel dus dat die X 700 de router A en de 3com (C) moet vervangen, want de setup die je tekent maakt de zaken wel overbodig ingewikkeld.
Persoonlijk vind ik de Digipass wel belangrijk als extra beveiliging naar de mobile users toe, veel hangt wel af van het type vpn je gebruikt: indien dit pptp is, is zo'n digipass zeker aan te raden.
Bovendien ligt de prijs van zo'n digipass rond de € 70, wat toch best meevalt.
Ik zou ook eens kijken naar www.axsguard.com, met die firewall oplossingen kan je je hele setup vereenvoudigen.
Eventueel kan je ook aan Belgacom een totaaloplossing vragen, dat maakt 't qua setup een heel pak makkelijker, maar is natuurlijk een heel pak duurder... (btw, ook telenet, KPN en scarlet bieden van die totaaloplossingen)

dinsdag 14 februari 2006 12:20

Acties:

Verwijderd

Die cisco soho had ik even gemist. De X700 zou dus je entrypoint worden voor alle VPN tunnels van telewerkers, shops, en externe verbindingen zoals FTP en eventueel SMTP en wat je verder doen wilt.

dinsdag 14 februari 2006 16:57

Acties:
  • Impuls
  • Registratie: Augustus 2003
  • Laatst online: 08-12-2025

Impuls

Topicstarter
Ik wil nu niet de luierik uithangen maar ik zou graag eens jullie visie zien op plan voor deze infrasctrucuur.

voorwaarden :

1) Site Z moet kunnen vpnnen op site X, enkel en alleen om de as400 te kunnen bereiken.
verder hebben ze geen zaken met site z (geen active directory, mails, data,...)

2) Site X is dus een volwaardig bedrijf die moet kunnen surfen, mailen, mobile users toelaten, webserver ...

Als jullie zin hebben, een planneke tekenen en posten...vind het zelf leerzaam om zo elkanders mening te weten en professioneel hierover te kunnen discussiëren.

Ik stel me zelf al de vraag waarom er een secured line moet liggen tussen de twee bedrijven...is het niet voldoende om gewoon vpn sessie te openen wanneer ze het nodig hebben ipv een lijn die continue openligt... (commentaar/argementatie gewenst)

Tevens 1 of 2 routers....ook al ben ik voorstander om 1 router te gebruiken is het kostenverantwoord nog altijd goedkoper en performanter voor 2 abonnementen te hebben.

To be continued
Bjorn

None

dinsdag 14 februari 2006 17:59

Acties:

Verwijderd

Eigenlijk is dit een heel simpele setup, je moet gewoon een VPN tunnel (over 't internet) tussen die twee sites leggen. Voor de stabiliteit pak je best 2 firewall/router/VPN/... toestellen van hetzelfde merk, zeker wat VPN's betreft zijn standaarden niet steeds standaard.

Ik hoop dat deze mail niet te fel als reclame overkomt, maar ben zelf zeer tevreden van volgende aXs GUARD oplossing:

Op beide sites zet je zo'n aXs GUARD, en zet een permanente e-tunnel op (een zelf ontwikkelde VPN verbinding op basis van IPsec)

Je kan dan door deze tunnel een rule opstellen dat het verkeer van site Z enkel naar het IP adres van die AS-400 server mag (en eventueel zelfs slechts een bepaald aantal machines van site Z

Op beide sites kan je dan nog allerlei apparte modules installeren voor oa. webverkeer, e-mail, webservers, meerdere internetlijnen, bandbreedtebeheer,...
Bovendien is de setup van heel die configuratie vrij eenvoudig omdat alles in hetzelfde toestel zit.
(en als je schrik hebt dat 't toestel uitvalt kan je steeds de high availability optie nemen)

Ben persoonlijk helemaal geen voorstander van dure dedicated lijnen.
Beter lijkt me om twee goedkopere lijnen van 2 verschillende providers te nemen (à la telenet/belgacom) dan moet 't al serieus mis gaan eer je verbinding weg is.

dinsdag 14 februari 2006 20:47

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

De sessies naar de as400 gewoon op een terminal server draaien op de hoofdlocatie. Pix box neerzetten van cisco, beveiligen op source IP adresssen via access-lists. Outbound eventueel een proxy gebruiken.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

woensdag 15 februari 2006 13:47

Acties:

Verwijderd

? Dit lijkt me een beetje overkill. AS400 is nl al een terminal emulatie (eigenlijk zelfs een telnet sessie met wat uitgebreide functiecommando's), om die dan nog eens over een Terminal Server sessie te laten lopen lijkt me overkill.

woensdag 15 februari 2006 14:12

Acties:
  • Impuls
  • Registratie: Augustus 2003
  • Laatst online: 08-12-2025

Impuls

Topicstarter
- terminal :

Volledig mee eens, pure overkill.
Je hebt meer dan voldoende met emulatie software van ibm

- asx box

Zou je dan bijvoorbeeld op zo een box twee adsl abonnementen zetten zodat de op de ene
lijn het traffic van internet en emails zit en op de andere van ftp, webservers en vpn ?

Zit er daar tevens de optie in om remote users te laten inloggen via vpn (pptp of misschien ipsec)

Lijkt me inderdaad dan een leuke oplossing.

Conclusies dat ik ondertussen al kan trekken is dat die cisco soho met 3com officeconnect buiten moeten.

Ik moet zelf alweer eens goed nadenken om het verschil te weten tussen een cisco soho en een cisco 800 reeks router....beide doe toch ongeveer hetzelfde. (worden beiden ingezet voor een adsl office connect op te zetten).

groeten
Bjorn

ps: geef toe, ik vind dees een leuke, opbouwende thread waar sommigen veel kunnen uit leren.

[ Voor 79% gewijzigd door Impuls op 15-02-2006 14:32 ]

None

woensdag 15 februari 2006 16:11

Acties:

Verwijderd

'k vind dit inderdaad ook een leuke thread
Met de aXs GUARD kan je inderdaad meerdere internetlijnen gebruiken, en het verkeer naargelang het type verdelen over de verschillende lijnen.
En er zit (oa.) ook een VPN server in waarmee je PPTP en IPsec tunnels kan opzetten.
Maar buiten dat kunnen ze nog veel meer, je kan er zelfs een faxserver van maken, handig voor bv. je offertes te digitaliseren.

In PC magazine was er een vergelijkende test waar ze als de beste uitkomen: http://www.able.be/documents/20060201_Review_PC_Magazine.pdf

Op hun site (http://www.axsguard.com/indexdemo.htm) kan je een login aanvragen voor de demosite, da's zo'n aXs GUARD die ergens op 't internet staat waar je dan wat mee kunt spelen.
Zorg wel dat je in naam van een firma de login vraagt, 't is niet bepaalt iets voor thuisgebruikers.

Verschil tussen Cisco 800 en Cisco SOHO is de VPN functie (dacht ik). De Cisco 800 reeks is volgens mij enkel een router/firewall, met een VPN client, de SOHO heeft deze functie niet.
(er zijn wel verschillende types, maar zoals je uit de naam waarschijnlijk al kon afleiden is de 800 reeks ook iets krachtiger dan de SOHO)
3com volg ik al een tijdje niet meer, 'k vind dat die de laatste jaren sterk achteruit (alleszins niet vooruit) zijn gegaan.

woensdag 15 februari 2006 16:38

Acties:
  • Impuls
  • Registratie: Augustus 2003
  • Laatst online: 08-12-2025

Impuls

Topicstarter
ja, ik ga die toch eens nader bekijken.

Het mailgedeelte zie ik me toch niet direct gebruiken...tenzij deze effectief alles stored gelijk een exchange server...
Plus hoe maak ik daar dan backups van (netwerkdrive ofzo)...

Ik zal de demo eens bekijken en de pdf wordt op dit moment geprint :-)

Cheers
Impuls

None

donderdag 16 februari 2006 16:08

Acties:

Verwijderd

Hmm, kan aan mij liggen, maar.. effe een stap terug.

Zou je niet eens beginnen met het opstellen van duidelijke richtlijnen omtrent security ?

Wie mag wat wanneer, waarom en waarmee ? Het kopen van allerlei dure technische oplossingen is uiteraard erg verleidelijk, maar de ergste blunder van allen is achteraf moeten zeggen 'Oh, ehm, by the way, die firewall-oplossing die we gekocht hebben doet eigenlijk niet wat we wilden, achteraf gezien..'.

Als je bijvoorbeeld al roept dat bijna iedereen als admin op servers werkt krommen mijn poezelige teentjes reeds samen..

My two cents.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq