SSL VPN kiezen

Whale is laatst ook overgenomen door microsoft. Deze bied ook SSL VPN's . Voor de rest, wat voor een firewall heb je nu precies draaien, want er zijn verschillende mogelijkheden.
Wat zijn precies je eisen die je wilt (bv client support)? Performance, butget.
je geeft al aan dat je RSA securID wilt gaan gebruiken.
Is misschien eventueel Citrix niet iets voor je? Met de Citrix securegateway iets voor je?

OpenVPN misschien? Of zeg ik nu iets heel raars? Voor 30 users moet dat volgens mij prima te onderhouden zijn. Toegang tot lokale bronnen wordt toch verder door Terminal Server afgehandeld?

Juniper SA 1000 (voorheen 700) met RSA secureID of eventuele een checkpoint connectra.
Daar kan je in de systemen zelf een SSL portal een VPN client starten of via mooie java apps en dergelijke in je TS. Ik zou zeker een vendor die langer in de markt staat kiezen... je dmz/interne servers koppelen aan het inet zou ik niet doen door een simpele SSL VPN mogelijkheid..

Ik zou persoonlijk kiezen voor een Sonicwall SSL-VPN Appliance, met hierachter een VASCO Middleware Services.

Op deze manier log je in op een Portal met je VASCO token en authenticeer je je. Vervolgens kijk je in de bookmarks van de SSL VPN en log je in op je terminal server. Maar bijvoorbeeld ook naar je OWA welke op deze manier dus ook beveiligd is.

Mocht je meer willen weten, let me know.

Wij gebruiken Watchguard SSL met Vasco middleware en tokens.
Werkt erg prettig, voordeel van deze SSL oplossing is dat het meer op een Ipsec tunnel lijkt dan echt SSL. De meeste hebben een soort portal page oplossing.

Gratis en ook aardig is SSL Explorer

Kijk ook eens naar de Aventail oplossingen, erg goed en erg betrouwbaar.
Als je er zelf geen omkijken naar wilt hebben kan je het als managed dienst afnemen bij BT.

Je kunt ook kijken naar een Cisco ASA5505 / 5510 i.s.m. Aladdin OTP tokens.

Een beetje Cisco router doet tegenwoordig ook SSL VPN.

vliegjong schreef op donderdag 08 februari 2007 @ 14:31:
Juniper SA 1000 (voorheen 700) met RSA secureID of eventuele een checkpoint connectra.
Daar kan je in de systemen zelf een SSL portal een VPN client starten of via mooie java apps en dergelijke in je TS. Ik zou zeker een vendor die langer in de markt staat kiezen... je dmz/interne servers koppelen aan het inet zou ik niet doen door een simpele SSL VPN mogelijkheid..

Ik heb voor mijn afstudeerproject hier ook heel veel tijd aan besteed en wij zijn inderdaad ook op de Juniper SA oplossing uitgekomen. Ik zou deze zeker eens nader bekijken als ik jou was. Bij ons is het uiteindelijk ook tot een implementatie heirvan gekozen en wij zijn allemaal lyrisch.

Modbreak:

Spam removed.
Graag normaal reageren ipv te spammen

[ Voor 86% gewijzigd door Koffie op 15-02-2007 09:06 ]

JAHRASTAFARI schreef op donderdag 15 februari 2007 @ 08:27:
[...]

GaMbiNo, kun je nog wat meer over deze SA 1000 box vertellen? Wat kan er wel mee en ook: wat niet? Welke afwegingen hebben de doorslag gegeven voor deze unit?

Heeft iemand ervaring met soortgelijke units die ook als firewall functioneren voor het netwerk? Dus én remote access én firewall (security, logging/monitoring, ipsec lan2lan),

Die SA1000 kan 3 dingen
- simpel surfen op het intranet via een SSL-VPN, waarbij die SSL-VPN machine eigenlijk een secure gateway je netwerk in is. Alles wat je met een browser kan is dan mogelijk. Intranet-websites, OWA etc.
- Eenvoudige applicaties zoals TS en Citrix (via een activeX of Java Applet)
- Full blown TCP/IP stack, waarbij je dus logisch gezien in het netwerk komt met IP adres en al (alleen activeX).

Op dit gebied zijn de Netscreens van Juniper gewoon heer-en-meester, maar je betaalt er wel de hoofdprijs voor. Er zijn veel andere spelers in de markt die ook goede producten leveren, zoals F5 en Cisco.
Zelf zou ik niet voor SSL Explorer of OpenVPN gaan, omdat de funtionaliteit minder is en m.i. de support gewoon belabberd is. (Niets tegen OSS, maar niet als applicatie op de border van mijn netwerk).

Voor authenticatie zou ik ook voor een 2-factor oplossing gaan zoals bijv. smartcards of OTP tokens. RSA met SecurID en de Vasco tokens zijn eigenlijk de enige serieuze oplossingen op dit gebied. Qua funtionaliteit gaat er niets boven de RSA. Je kan het zo gek niet bedenken of het is wel mogelijk met de ACE server. Maar ik denk dat de functionaliteit iets te veel is voor jou situatie.
De Vasco heeft erg goede AD integratie met de Vasco middleware.

Aan de hand van de informatie die je geeft en zover ik kan beoordelen zonder je netwerk ooit gezien te hebben, denk ik dat de Juniper SA1000 met de Vasco Authentication de beste oplossing zal zijn.

JAHRASTAFARI schreef op donderdag 15 februari 2007 @ 10:22:
Werkt zo'n Terminal Server echt lekker soepel via de webbrowser? Of wordt daarvoor dan het standaard Windows remote desktop (RDP) gebruikt?

Dus je logt in op een website (met token), en op de website kun je een TS icoontje aanklikken en de TS sessie popt in beeld?

Kun je dan ook toegang krijgen tot de lokale bronnen van de PC waar je mee werkt (usb sticks, printers)?

Ik zie namelijk dat al deze producten toegang op verschillende levels mogelijk maken, maar wat heb ik dan nodig?

In ieder geval bedankt voor de info!

Dat zijn dingen die je zult moeten testen.

JAHRASTAFARI schreef op donderdag 15 februari 2007 @ 10:22:
Werkt zo'n Terminal Server echt lekker soepel via de webbrowser? Of wordt daarvoor dan het standaard Windows remote desktop (RDP) gebruikt?

Dus je logt in op een website (met token), en op de website kun je een TS icoontje aanklikken en de TS sessie popt in beeld?

Kun je dan ook toegang krijgen tot de lokale bronnen van de PC waar je mee werkt (usb sticks, printers)?

Ik zie namelijk dat al deze producten toegang op verschillende levels mogelijk maken, maar wat heb ik dan nodig?

In ieder geval bedankt voor de info!

Terminal Server werkt heerlijk met die Java client.
Je logt in op de appliance (HTTPS) en vervolgens krijg je een aantal bookmarks. 1 van die bookmarks kan die Javaclient zijn naar die server.
Via de Javaclient kan je de lokale bronnen niet benaderen maar met de SSL VPN client (SAM of NC) kan je via windows RDP kan dit wel.

Toegang verlenen ligt aan de user, je kan rollen toekennen met functies. Het is maar wat je wil.
Zie ook de http://www.juniper.net/pr...ure_access_700/index.html

Kijk btw ook eens naar checkpoint Connectra of eventueel F5 Firepass. Iets goedkopere en simpelere oplossingen.