Beveiliging netwerk met complexe eisen - Netwerken

zaterdag 4 augustus 2007 10:05

Acties:

Topicstarter

Hallo allemaal,

Ik ben laatst gevraagd om voor een festivalorganisatie een netwerk opnieuw aan te leggen. Bij gebrek aan budget kan er vrijwel niets worden aangeschaft en kan er geen echte IT-pro worden ingeschakeld. Sterker nog: bijna het hele festival draait op vrijwilligers. Vandaar dat ik ben gevraagd, als een "hobbyist met bovengemiddelde ervaring" (weet meer dan een gemiddelde gebruiken, maar ben voorlopig nog lang geen God in de computerwereld). Hopelijk geeft dit een beetje duidelijkheid over mezelf en voorkomt dit opmerkingen als "huur een pro in".

Dit is de situatie:
Computernetwerk van de administratie heeft een internetverbinding, zit belangrijke/vertrouwelijke informatie tussen. Domein aanmaken is geen optie (in de festivalweek ben ik niet beschikbaar voor troubleshooten, dus mensen met laptop moeten bij kunnen prikken op UTP), dus normale werkgroep.
Voor de vrijwiliggers wordt een draadloos access point ter beschikking gesteld, zodat die kunnen internetten, maar dat moet over dezelfde modem heen. Maar ik wil niet dat ze de werkgroep en de bijbehorende pc’s kunnen zien/benaderen.

Heeft iemand een oplossing hiervoor? Zelf dacht ik: access point aan een aparte server hangen die kan zeggen welke poorten wel en niet open mogen staan en die server in de DMZ van de modem zetten. Misschien kan ik met die poorten management ook aangeven welke IP-nummers niet benaderd mogen worden vanuit het draadloze?

En weet iemand dan zulke managementsoftware? Misschien moet het een beetje zoals een KPN-hotspot worden, maar dan zonder te betalen (een dergelijk systeem zag ik hier veel op de Amerikaanse campings).

Alvast enorm bedankt voor de hulp!

zaterdag 4 augustus 2007 10:15

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Je zou er een switch tussen kunnen hangen en een paar Vlans aanmaken. 1 Vlan voor de administratie, en 1 Vlan voor de vrijwilligers. Zo kunnen ze elkaar niet zien. En natuurlijk wel e.e.a. routeren enzo

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

zaterdag 4 augustus 2007 14:38

Acties:

Romke

Dieselhead

Ik zou je pfSense aan willen raden

Daarmee heb ik nu een captive portal draaien (hotspot), en ik denk dat je in geval van een server met 3 netwerkkaarten (1 voor modem, 1 voor wlan AP, 1 voor administratie) je nog best gescheiden netwerken aan kunt maken ook.

Anders kun je met Vuurmuur, chillispot en FreeRadius aan de gang, maar dat is weer een stuk lastiger op te zetten.

If you buy a rubbish car, you say: I have no interest in cars. If you have no interest in cars, you have no interest in driving. And if you have no interest in something, it means you are no good at it, which means you must have your license taken away.

zaterdag 4 augustus 2007 14:42

Acties:

Dutch_Razor

Ik weet niet wat voor accespoint er is , maar voor veel op linux gebaseerde routers heb je DD-WRT, die kan 2 netwerken instellen, 1 prive en 1 publiek, werkt volgens mij op basis van Sputnik of Chillispot.

zaterdag 4 augustus 2007 14:44

Acties:

rapture

Zelfs daar netwerken?

Een DrayTek Vigor neerzetten, portbased-VLAN's configureren, aan de ene VLAN de administratie en aan de andere VLAN de AP's. DrayTek Vigor regelt het routeren wel.
http://www.draytek.nl/pag.../2800/specs.php?show=vlan

zaterdag 4 augustus 2007 15:15

Acties:

Romke

Dieselhead

Ik ben ff bezig met die pfsense oplossing in VMWare, omdat dit vaker voorbij komt.
Het is ZO simpel, compleet met ingebouwde hotspot, en je kunt zelf bedenken of je het account wil laten verlopen of niet.

[ Voor 33% gewijzigd door Romke op 04-08-2007 15:15 ]

If you buy a rubbish car, you say: I have no interest in cars. If you have no interest in cars, you have no interest in driving. And if you have no interest in something, it means you are no good at it, which means you must have your license taken away.

zondag 5 augustus 2007 22:02

Acties:

DJ JB

Topicstarter

Hallo weer allemaal.

In ieder geval voor de reacties tot zover. Het verhaal van de DrayTek Vigor met de VLAN's (neem aan dat dat staat voor Virtual LAN's, een nieuw begrip voor mij, maar ik dacht wel dat er zoiets zou bestaan) klinkt erg goed, maar dat apparaatje klinkt erg duur. Op dit moment heb ik een Linksys WL router voor het draadloze deel, de modem bevindt zich in een onbereikbaar gedeelte van het gebouwencomplex. Zowel fysiek als inlogtechnisch. Heel gezeur met de verhuurder (naar ik heb gehoord), dus ik moet het op ethernetniveau regelen. Als zoiets als pfSense dit zou kunnen doen, zou het perfect zijn. Er staan immers genoeg pc's, dus ik kan er makkelijk één als server neerzetten. Vooral open source (gratis) software is iets waar de festivalorganisatie om zal springen. Ik voel alleen een klein beetje nattigheid aankomen: ik heb de site even snel doorgescand en volgens mij moet dat verplicht in een openBSD-omgeving draaien. Helaas heb ik me nog niet kunnen verdiepen in het besturingssyteem en van horen zeggen is dat een ramp om zonder ervaring voor het eerst te installeren.
(Maar ik zag ook dat er een live-cd is, dus misschien dat dat de uitkomst zou kunnen zijn.)
Als ik morgen mijn jetlag heb weggeslapen zal ik de site nog eens doorlezen en het Wiki onderdeel bezoeken.

In de tussentijd hoop ik dat mijn situatie iets beter is toegelicht. Aangezien ik over twee weken op stage moet beginnen en ik daarvoor nog een paar enkele andere dingen moet doen, heb ik niet gigaveel tijd over om te 'klooien' op die werkplek, dus het moet inderdaad snel en simpel kunnen.
Ik ben vooral met Windows heel handig en aangezien er ook nog een print-/fileserver moet komen hoop ik dat ik dat in Windows kan doen en combineren met zo'n VLAN-manager (extra netwerkkaarten heb ik in eigen bezit wegstoffen, dus die kan ik altijd nog aan het festival sponsoren).

Tot zover al bedankt voor alle hulp en als er naar aanleiding van deze post nog opmerkingen/voorstellen zijn, zijn die van harte welkom!

zondag 5 augustus 2007 22:14

Acties:

Murk

Is this thing on?

Wat voor festival en waar?

"There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors."

maandag 6 augustus 2007 00:37

Acties:

AlterMann

Pfsense is een kant en klare oplossing, wel op basis van freebsd ja, maar dat hoef je niet (los) te installeren.

Als je tijd hebt zou ik het eens downloaden en in een VMWare sessie gooien.. Kinderlijk eenvoudig

/edit: http://www.vmware.com/vmtn/appliances/directory/361
Hier kan je een kant en klare vmware-appliance downloaden, hoef je alleen maar in vmware te importeren, aan te zetten, en je kan er al mee werken

Succes!

[ Voor 35% gewijzigd door AlterMann op 06-08-2007 00:39 ]

maandag 6 augustus 2007 00:52

Acties:

rapture

Zelfs daar netwerken?

Of de Live-CD in een ouwe desktop met netwerkkaarten smijten en draaien maar. Zo heb ik mijn huidige router met gecrashte harde schijf opgelost, pfSense Live-CD erin en draaien maar. Beetje handleiding lezen en normaal gezien ga je geen enkele commandline tegenkomen.

maandag 6 augustus 2007 01:19

Acties:

XplodingForce

NEE GEEN COLA GEVEN!!!!

Als die DrayTek Vigor te duur is, kun je gewoon een router zoeken waar DD-WRT op draait. Misschien kun je wel een router vinden die in die lijst staat, anders is er vast wel eentje die goedkoper is dan die DrayTek, die in die lijst staat. Als je die hebt is het allemaal vrij simpel.

1. Installeer DD-WRT op de router mbv deze tutorial.

2. Daarna maak je daar 2 vlan's op aan. Met deze tutorial moet dat lukken.

Dit is misschien wel wat moeilijker dan met die DrayTek, maar het kost waarschijnlijk stukken minder, aangezien er vrij veel routers zijn die je hiervoor kunt gebruiken. (ps, lees je wel eerst even in in DD-WRT, ik ben natuurlijk niet verantwoordelijk voor een gebrickte router).

Een pc met een paar netwerkkaartjes is natuurlijk ook een goede, makkelijke optie.

[ Voor 4% gewijzigd door XplodingForce op 06-08-2007 01:20 ]

Everybody lies

dinsdag 7 augustus 2007 00:16

Acties:

ls470

Hallo,

De allersimpelste oplossing is hier blijkbaar nog niet voorgesteld?
Koop (of leen) een tweede accesspoint/router (wel opletten dat't niet hetzelfde IP range uitdeelt als de bestaande linksys, dus eerst de instellingen aanpassen vooraleer je't aan't netwerk hangt) en steek dat tussen de modem en de bestaande router (dus de bestaande linksys wordt met zijn WAN poort in een van de LAN poorten van de nieuwe router geplugd, niet de nieuwe router in een lanpoort van de linksys pluggen)

De linksys zal dan nog steeds voor beveiliging zorgen, zodat't administratienetwerk niet toegankelijk is vanuit internet of van computers die aan de nieuwe router hangen, maar de computers die aan de nieuwe router hangen kunnen wel aan internet...

dinsdag 7 augustus 2007 00:22

Acties:

rimpeldinky

nani?

ls470 schreef op dinsdag 07 augustus 2007 @ 00:16:
Hallo,

De allersimpelste oplossing is hier blijkbaar nog niet voorgesteld?
Koop (of leen) een tweede accesspoint/router (wel opletten dat't niet hetzelfde IP range uitdeelt als de bestaande linksys, dus eerst de instellingen aanpassen vooraleer je't aan't netwerk hangt) en steek dat tussen de modem en de bestaande router (dus de bestaande linksys wordt met zijn WAN poort in een van de LAN poorten van de nieuwe router geplugd, niet de nieuwe router in een lanpoort van de linksys pluggen)

De linksys zal dan nog steeds voor beveiliging zorgen, zodat't administratienetwerk niet toegankelijk is vanuit internet of van computers die aan de nieuwe router hangen, maar de computers die aan de nieuwe router hangen kunnen wel aan internet...

en de vertrouwelijke data gaat dus ook over het unsecure netwerk naar buiten toe... (mits die data ook over internet moet)

*burp*

dinsdag 7 augustus 2007 14:03

Acties:

Verwijderd

ls470 schreef op dinsdag 07 augustus 2007 @ 00:16:
Hallo,

De allersimpelste oplossing is hier blijkbaar nog niet voorgesteld?
Koop (of leen) een tweede accesspoint/router (wel opletten dat't niet hetzelfde IP range uitdeelt als de bestaande linksys, dus eerst de instellingen aanpassen vooraleer je't aan't netwerk hangt) en steek dat tussen de modem en de bestaande router (dus de bestaande linksys wordt met zijn WAN poort in een van de LAN poorten van de nieuwe router geplugd, niet de nieuwe router in een lanpoort van de linksys pluggen)

De linksys zal dan nog steeds voor beveiliging zorgen, zodat't administratienetwerk niet toegankelijk is vanuit internet of van computers die aan de nieuwe router hangen, maar de computers die aan de nieuwe router hangen kunnen wel aan internet...

Ik vond het al raar dat iets als dit nog niet was voorgesteld, omdat de TS ook om iets als dit vroeg, als we het verhaal van hierboven nemen met een goede firewall + het blokkeren van zoveel mogelijk poorten zijn we al een heel eind.

Vraagjes

alleen vraag ik me af wat de administratie met die ''belangrijke data'' doet?, wordt dit alleen in het netwerk gebruikt of wordt het verstuurd via internet,

En wat doen de vrijwilligers met de laptops? is dit eenmalig, of is het maandelijks ofzo?
zijn het beginners/gemiddeld/experts op het gebied van pc's dat je de data zo goed wilt beveiligen?, en gaan we uit van desktops/laptops met windows (xp) of linux machines?

dinsdag 7 augustus 2007 14:27

Acties:

rapture

Zelfs daar netwerken?

Zal eens doorverwijzen naar een oude post waar ik de mogelijkheden uitgelegd had: rapture in "Twee VLAN's op 1 internetverbinding."

2 routers is idd een mogelijkheid.
Afbeeldingslocatie: http://users.telenet.be/rapture/stockage/got/1218029/dubbele-router.gif

Afbeeldingslocatie: http://users.telenet.be/rapture/stockage/got/1218029/dubbele-router.gif

Vervang de public-servers door de laptops van vrijwilligers, deze kunnen dus online. En achter de 2de router zit een privaat gedeelte dat afgeschermd van het publiek gedeelte is, maar nog altijd online kan.

dinsdag 7 augustus 2007 16:29

Acties:

DJ JB

Topicstarter

Zijn we weer!

Dat met de WAN klinkt inderdaad als een ideale oplossing. Het enige dat bij mij vraagtekens oproept is hetvolgende: modem is DHCP voor netwerk, dus als ik de eerste router vanaf de administratie via de WAN gebruik, krijgen de pc's waarschijnlijk geen IP meer door de firewall heen. Dus moet in de router de DHCP aan. Kunnen ze dan nog steeds internetten?

Verder klinkt het als de oplossing die ik het eerst ga uitproberen.

Om de vragen te beantwoorden: administratie zal ook wel flink wat mailen, dus er wordt wel informatie verzonden, maar ik verwacht niet dat er eerste klas hackers tussen zitten die hun laptop neerzetten om zo veel mogelijk info af te vangen. Met 'vertrouwelijke' informatie bedoel ik meer dat er adressenlijsten en andere contactgegevens en financiele documenten tussen zitten die niet voor iedereen bedoeld zijn. Het enige dat ik wil voorkomen is dat iedere geitenwollensukkel het zo van het netwerk af kan trekken. Uiteraard moeten de medewerkers van de organisatie wel gewoon bij elkaars dingen kunnen.

De vrijwilligers zijn veel verschillende mensen. Ik verwacht niet dat er onder hen hackers zitten die zelfs nog in het Pentagon binnen kunnen komen. Ze zijn over het algemeen de hele dag in de weer, het is meer dat ze in de pauze een beetje kunnen surfen, emailen, foto's naar hun Hyves of wat dan ook kunnen uploaden. Een beetje wat de gemiddelde middelbareschooltiener ook op internet doet.

Het gaat erom dat ze niet gewoon in "Volledig Netwerk" kijken en daar ineens hele bestandenlijsten tegelijk kunnen kopieren. Het netwerk draait met Pentium II's. Ze hebben er zoveel dat ik het hun niet aan kon doen het gehele budget af te pakken voor hypermoderne pc's als ze alleen wat internetten en Word en Excel gebruiken. Heb dus overal Windows '98 afgegooid, overal Windows 2000 erop samen met Office 2003 en Acrobat 7. Komt nog een nieuwe printer, die gaat aan een centrale server waar ik ook een centrale fileserver in wil bouwen (kan die tenminste alles van iedereen in 1x backuppen). Wat ik dan doe is op iedere pc "mijn documenten" en "desktop" forwarden naar de server met verschillende gebruikersmappen. Koop ik twee externe HD's, de ene om constant te gebruiken, de tweede om backups op te plaatsen. Heb ik al eens bij een ander klein kantoor gedaan en die zijn er zo tevreden mee (is in ieder geval stukken beter dan de chaos die ervoor heerste).

Het festival is een jaarlijks terugkerend evenement. Het is 4 dagen toegankelijk voor publiek en de vrijwilligers zijn 2-3 weken in totaal aan het werk. De organisatie neemt al eerder plaats in het computernetwerk. Het is wel de laatste keer dat het op de huidige lokatie plaatsvindt (ving ik op), maar het makkelijkste is als het systeem zelf goed werkt en alleen de apparatuur verplaatst hoeft te worden, want het festival zelf wordt voortgezet (groeit nog ieder jaar groter, dit jaar 10de editie). Aangezien ik nou toch bezig ben: het is een hightech theaterfestival in Amsterdam Noord met robots, acrobatiek, vuurwerkachtige effecten, etc. Eind september vind het plaats. Video op http://www.robodock.org/

[ Voor 12% gewijzigd door DJ JB op 07-08-2007 16:33 ]

dinsdag 7 augustus 2007 18:32

Acties:

Verwijderd

DJ JB schreef op dinsdag 07 augustus 2007 @ 16:29:
Zijn we weer!

Dat met de WAN klinkt inderdaad als een ideale oplossing. Het enige dat bij mij vraagtekens oproept is hetvolgende: modem is DHCP voor netwerk, dus als ik de eerste router vanaf de administratie via de WAN gebruik, krijgen de pc's waarschijnlijk geen IP meer door de firewall heen. Dus moet in de router de DHCP aan. Kunnen ze dan nog steeds internetten?

Jawel hoor, je moet gewoon de netwerken van elkaar ''scheiden'' dmv het plaatje van rapture (als voorbeeld dan maar) en die 2 netwerken een apart ip geven, bijv.

Private (administratie) : 192.168.0.100 t/m 192.168.0.150
Public (laptoppers) : 192.168.1.100 t/m 192.168.1.150

dit stel je gewoon in de routers in en dat zou gewoon moeten werken, ben blij dat zo'n simpele oplossing ook gewoon nuttig kan zijn

dinsdag 7 augustus 2007 18:37

Acties:

ls470

In een normaal netwerkje met router is de situatie:

(deel 1)
MODEM geeft via DHCP het WAN-adres van de router (publieke internet adres)
ROUTER krijgt zijn adres van de modem

De router maakt de verbinding tussen deel 1 en deel 2 en vertaalt de adressen (de router heeft dus een verschillend adres in deel 1 en deel 2)

(deel 2)
ROUTER heeft een vast IP adres (via de webinterface in te stellen) in prive-range
ROUTER deelt via DHCP adressen uit van zijn prive-range aan de PC's
PC's krijgen dus hun adres van de ROUTER
PC's kunnen via ROUTER aan internet

Door een andere router in deel 2 van't netwerk aan te sluiten komt hier gewoon nog een laagje bij:

de 2de router (linksys) maakt verbinding tussen deel 2 en 3
(deel 3)
LINKSYS heeft een vast adres in een ANDERE prive-range en deelt via DHCP adressen uit in die range
PC's achter LINKSYS krijgen dus hun adres van LINKSYS in de range van LINKSYS
PCs kunnen via LINKSYS met ROUTER verbinden en via ROUTER op internet

Het is dus wel belangrijk dat de adresrange die door beide routers uitgedeeld wordt verschillend is...

rimpeldinky: het internet is ook een unsecure netwerk => ik veronderstelde dus dat data die naar internet gaat sowieso niet vertrouwelijk is (dus al vercijferd is door bv. ssl)

dinsdag 7 augustus 2007 18:45

Acties:

Verwijderd

ls470 schreef op dinsdag 07 augustus 2007 @ 18:37:
In een normaal netwerkje met router is de situatie:

(deel 1)
MODEM geeft via DHCP het WAN-adres van de router (publieke internet adres)
ROUTER krijgt zijn adres van de modem

De router maakt de verbinding tussen deel 1 en deel 2 en vertaalt de adressen (de router heeft dus een verschillend adres in deel 1 en deel 2)

(deel 2)
ROUTER heeft een vast IP adres (via de webinterface in te stellen) in prive-range
ROUTER deelt via DHCP adressen uit van zijn prive-range aan de PC's
PC's krijgen dus hun adres van de ROUTER
PC's kunnen via ROUTER aan internet

Door een andere router in deel 2 van't netwerk aan te sluiten komt hier gewoon nog een laagje bij:

de 2de router (linksys) maakt verbinding tussen deel 2 en 3
(deel 3)
LINKSYS heeft een vast adres in een ANDERE prive-range en deelt via DHCP adressen uit in die range
PC's achter LINKSYS krijgen dus hun adres van LINKSYS in de range van LINKSYS
PCs kunnen via LINKSYS met ROUTER verbinden en via ROUTER op internet

Het is dus wel belangrijk dat de adresrange die door beide routers uitgedeeld wordt verschillend is...

rimpeldinky: het internet is ook een unsecure netwerk => ik veronderstelde dus dat data die naar internet gaat sowieso niet vertrouwelijk is (dus al vercijferd is door bv. ssl)

ik denk dat wanneer je dit uittekent dat we het allemaal zullen begrijpen want dit is ook al goed bedoelt niet voor iedereen te begrijpen, dit komt volgens mij wel overheen met wat ik bedoel in mijn post hierboven, toch?

dinsdag 7 augustus 2007 23:13

Acties:

DJ JB

Topicstarter

Oke, bedankt voor alle hulp!

Ik ga het WAN-trucje plaatsen. Morgen ga ik er weer verder mee, vandaag kantoor aan de lijn gehad en die vonden het allemaal goed klinken, dus morgen de bekabeling deels omleggen en kijken of het werkt. Het resultaat zal ik hier dan nog wel even achterlaten.

zondag 12 augustus 2007 02:04

Acties:

DJ JB

Topicstarter

Het werkt allemaal!

Bedankt voor de hulp iedereen.