Sterke Authenticatie voor 2 galvanische netwerken - Serversoftware en clouddiensten

donderdag 4 oktober 2007 11:41

Acties:

Verwijderd

Topicstarter

Hoi,

Een klant van ons heeft een eigen netwerk en een 2de netwerk voor studenten die niet met elkaar in verbinding staan en mogen! (galvanisch)
nou moeten ze op het 2de netwerk het internet op, maar er moet een vorm van sterke authenticatie tussen.

De users zijn wel in beide netwerken hetzelfde ong. 2000 users

Nou werken ze met Active Directory en een oplossing is om in netwerk 2 een active directory aan te maken en de users die in AD 1 zitten allemaal over te nemen en overtikken in AD 2.
maar elk jaar gaan er 1000 studenten weg en komen er 1000 studenten bij dus das veel tik werk.
Of is er nog een makkelijkere manier (je kunt ook exporteren -> cdtje branden -> naar ad2 lopen -> importeren. maar in de loop van het jaar worden er ook nog nieuwe users gemaakt en verwijderd dus dat is wel allemaal veel werk.

een 2de oplossing zou een radius server zijn of iets met RSA tokens maar die zijn behoorlijk duur.
het vervelende is dat er geen communicatie mogelijk mag zijn met netwerk 1(ad1)

Heeft iemand hier ervaring mee en of ideeen voor een goede oplossing?
ik weet het budget niet van de klant, dus een normale oplossing voor sterke authenticatie is gewenst.

ISA server is hier niet van toepassing want dit is dubbel op en een te complexe oplossing, dus iemand andere goeie ideeen?

donderdag 4 oktober 2007 11:48

Acties:

Flapp

kan je niet gewoon de twee netwerken scheiden doormiddel van vlans

bedoel je dat netwerk1 en netwerk 2 niet met elkaar mogen praten?
of bedoel je dat in het tweede netwerk geen enkele client in het tweede netwerk met elkaar mogen praten?

[ Voor 56% gewijzigd door Flapp op 04-10-2007 11:49 ]

"Stilte, een gat in het geluid...."

donderdag 4 oktober 2007 11:53

Acties:

djluc

Dus nu kan alleen netwerk 1 het netwerk op als ik het goed begrijp? Zoja: 2 aparte internet lijnen?

donderdag 4 oktober 2007 12:07

Acties:

Verwijderd

Topicstarter

netwerk 1 mag niet op het internet en de 2 netwerken mogen niet met elkaar praten dus wel onderling, maar niet van netwerk 2 naar 1 en andersom...

vlans is hier geen oplossing helaas...

2 inet lijnen is ook geen oplossing want er is er maar 1 nodig voor netwerk 2 en het gaat erom dat het allemaal zeer beveiligd is dus een sterke authenticatie oplossing is dus noodzakelijk alleen wat is het beste en niet te duur want tokens zijn iets van 100 / 200 euro en als je die dan 2000 moet aanschaffen...

donderdag 4 oktober 2007 12:10

Acties:

martijnve

Verwijderd schreef op donderdag 04 oktober 2007 @ 12:07:
netwerk 1 mag niet op het internet en de 2 netwerken mogen niet met elkaar praten dus wel onderling, maar niet van netwerk 2 naar 1 en andersom...

vlans is hier geen oplossing helaas...

2 inet lijnen is ook geen oplossing want er is er maar 1 nodig voor netwerk 2 en het gaat erom dat het allemaal zeer beveiligd is dus een sterke authenticatie oplossing is dus noodzakelijk alleen wat is het beste en niet te duur want tokens zijn iets van 100 / 200 euro en als je die dan 2000 moet aanschaffen...

Dat lijkt me dus een school-voorbeeld van waar vlans voor bedoeld zijn?
Alle dingen (pc's/server/router naar internet/enz) die met elkaar moegen praten hang je in een vlan, en een andere groep die wel met elkaar mogen praten maar niet met groep 1 geef je een eigen vlan, enz.

Of je beschrijft je probleem verkeerd uit of je moet nog eens goed opzoekken wat een vlan is imho.

edit: of is het probleem dat je "runtime" moet bepalen in welk netwerk een pc hangt?

edit2: Hoe kan een hacker nu van vlan 1 naar vlan 2?
Misschien als hij de web interface van je switch hackt, maar dan zoek je gewoon een switch die alleen via een compoort te configgen is.

[ Voor 12% gewijzigd door martijnve op 04-10-2007 12:16 ]

donderdag 4 oktober 2007 12:13

Acties:

Verwijderd

Topicstarter

martijnve schreef op donderdag 04 oktober 2007 @ 12:10:
[...]

Dat lijkt me dus een school-voorbeeld van waar vlans voor bedoeld zijn?
Alle dingen (pc's/server/router naar internet/enz) die met elkaar moegen praten hang je in een vlan, en een andere groep die wel met elkaar moegen praten maar niet met groep 1 geef je een eigen vlan, enz.

Of je beschrijft je probleem verkeerd uit of je moet nog eens goed opzoekken wat een vlan is imho.

het is een galvanisch gescheiden netwerk, dus er mag geen enkele interne communicatie mogelijk zijn voor interne hackers...
als je vlans hebt, blijft er voor een hacker altijd een mogelijkheid om van netwerk 2 naar 1 te komen.

en kun je op 1 vlan dan internet hangen maar hoe authenticeer je ze dan??

[ Voor 5% gewijzigd door Verwijderd op 04-10-2007 12:14 ]

donderdag 4 oktober 2007 12:15

Acties:

SpamLame

niks

Als er geen enkele mogelijkheid is om de netwerken aan elkaar te knoppen, mag een server dan wel in 2 netwerken hangen dmv 2 NIC's? zo ja dan kan je je DC's op die manier aanbieden in beide netwerken.

Als dat ook niet mag (dus geen koppeling op welk vlak dan ook) dan weet ik even geen oplossing.

edit:
is een firewall (transparant bridged of hoe dat ook maar heet?) tussen beide netwerken een mogelijk id

[ Voor 15% gewijzigd door SpamLame op 04-10-2007 12:18 ]

donderdag 4 oktober 2007 12:23

Acties:

Verwijderd

Topicstarter

SpamLame schreef op donderdag 04 oktober 2007 @ 12:15:
Als er geen enkele mogelijkheid is om de netwerken aan elkaar te knoppen, mag een server dan wel in 2 netwerken hangen dmv 2 NIC's? zo ja dan kan je je DC's op die manier aanbieden in beide netwerken.

Als dat ook niet mag (dus geen koppeling op welk vlak dan ook) dan weet ik even geen oplossing.

edit:
is een firewall (transparant bridged of hoe dat ook maar heet?) tussen beide netwerken een mogelijk id

Nee de server mag niet in 2 netwerken want dan is het niet galvanisch meer...

er komt een firewall tussen netwerk 2 en het internet...maar gebruikers moeten eerst geauthenticeerd worden...dus voordat ze van de firewall het internet op gaan moet er een vorm van sterke authenticatie tussen..

donderdag 4 oktober 2007 12:24

Acties:

Brahiewahiewa

boelkloedig

In deze situatie kun je de SMTP connector van Active Directory gebruiken.
Je beide netwerken zijn dan sites in dezelfde AD, maar synchronisatie gaat "buitenom", via mail.
't Is even stoeien met MX-records om het aan de praat te krijgen, maar ik heb het wel eens zien werken.

QnJhaGlld2FoaWV3YQ==

donderdag 4 oktober 2007 13:27

Acties:

jvanhambelgium

als je echt, echt, echt geen galvanische or radiografische verbinding mag hebben .... dan zal het typen worden. networking is geen rocket-science maar als het zo strict is.....dan zal het overtypen worden om 2 AAA-servers "in sync" te houden. Simpel!

donderdag 4 oktober 2007 20:21

Acties:

Guru Evi

Hier gebruiken we er gewoon een router/firewall voor. We hebben hier 1 PC die behalve 1 bepaald protocol niet naar buiten mag communiceren (medische toepassing) om service te doen wordt er dan ingebeld naar de firewall die een specifiek nummer in callback heeft.

Ik weet niet juist van Active Directory (Microsoft maakt het enorm bont) maar LDAP heeft maar een paar poorten nodig om te kunnen synchroniseren. Je zet een read-only slave op het 'onveilige' netwerk en tussen je master en dat netwerk heb je een aparte netwerkkaart alsook een degelijke software firewall en een hardware firewall, geen routing toestaan.

Als je echt totaal niet kunt communiceren dan kun je altijd een backup nemen van een identieke slave LDAP database in het 'veilige' netwerk en manueel overbrengen naar de andere.

[ Voor 3% gewijzigd door Guru Evi op 04-10-2007 20:22 ]

Pandora FMS - Open Source Monitoring - pandorafms.org

vrijdag 5 oktober 2007 08:24

Acties:

paulhekje

Ga eerst eens terug naar de functionele eisen:
- waarom mogen de 2 netwerken geen enkele relatie hebben?
- dit is in tegenspraak met de wens dat aan beide kanten dezelfde gebruikers werken...

Technisch kan je niet beide tegelijk doen
- met VLANS en ACL's kun je goed logisch scheiden
- eventueel via een aparte firewall routeren met IDS enz.
- authenticatie is blijkbaar wel gewenst, ga eerst bekijken wat moet authenticeren (pc/gebruiker/webappplicatie/...) daarna kies je de gewenste methode

Als oplossingen kun je denken aan
- toch een DC plaatsen
- replicatie via een tussenstap een metadirectory,, daarmee kun je synchronisatie 1 richting op forceren.
- radius server
- en waarschijnlijk nog veel meer.

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

vrijdag 5 oktober 2007 08:31

Acties:

TrailBlazer

Karnemelk FTW

Ik ben het eens met mijn voorgangers (lees ik a een open deur in trappen) Dit beleid is ingegeven door iemand die heeft gelezen dat de enige goede beveiliging geen verbinding is. Als jij een firewall tussen die 2 netwerken zet. Kan je het zo dichtzetten dat er niemand vanaf netwerk2 naar netwerk1 kan komen. Je zet enkel de ip addressen van de 2 DC erin en dan ook nog enkel de poorten die echt nodig zijn.

vrijdag 5 oktober 2007 11:43

Acties:

jvanhambelgium

Mischien is het bij de TS wel echt top-secret ;-)
Zo bestaat er effectief een zeer beveiligde omgeving waarbij binnekomende mail effectief manueel bekeken gaat worden en overgezet op het interne netwerk. (mails lezen en content overtypen -> *.exe's ga je dus niet aantreffen...)

Dan moet je wel echt,echt,echt superparanoide zijn, en het lijkt haast ongeloofwaardig...

vrijdag 5 oktober 2007 11:56

Acties:

Lustucru

26 03 2016

offtopic:
Ik snap heel dat galvanisch in titel, topicstart niet zo. Het klinkt een beetje als klok en klepel verhaal. Een galvanische scheiding is -grof omschreven- een onderbreking in een kopercircuit die oop een andere manier wordt overbrugd, bv dmv optocouplers. Een galvanische scheiding dient om ongewenste stroomstoringen, overslagspanningen etc op te vangen en heeft dus niets van doen met gebruikersidentificatie of beveiliging. Als TS bedoelt dat er geen enkele fysieke verbinding tussen de netwerken mogelijk mag zijn dan houdt het snel op ja

De oever waar we niet zijn noemen wij de overkant / Die wordt dan deze kant zodra we daar zijn aangeland

vrijdag 5 oktober 2007 12:50

Acties:

TrailBlazer

Karnemelk FTW

Lustucru schreef op vrijdag 05 oktober 2007 @ 11:56:

offtopic:
Ik snap heel dat galvanisch in titel, topicstart niet zo. Het klinkt een beetje als klok en klepel verhaal. Een galvanische scheiding is -grof omschreven- een onderbreking in een kopercircuit die oop een andere manier wordt overbrugd, bv dmv optocouplers. Een galvanische scheiding dient om ongewenste stroomstoringen, overslagspanningen etc op te vangen en heeft dus niets van doen met gebruikersidentificatie of beveiliging. Als TS bedoelt dat er geen enkele fysieke verbinding tussen de netwerken mogelijk mag zijn dan houdt het snel op ja

offtopic:
eventueel kan je natuurlijk een wireless bridge of een glasvezel er tussen zeten. Elektronisch zeer goed gescheiden. Hoewel als je er een kickass laser achter de glasvezel zet.

vrijdag 5 oktober 2007 13:10

Acties:

Ethirty

Who...me?

Moeten leerlingen uit AD2 ook kunnen inloggen in AD1? Lijkt me niet, anders hoeven de netwerken niet fysiek ontkoppeld te zijn.

Dan kan je AD1 volledig buiten beschouwing laten. Binnen AD2 zet je een validatiesysteem op voor internet gebruik (denk zelf aan een proxy met authenticatie) Gebruikersbeheer doe je gewoon op AD2, leerlingen zijn toch niet bekend op AD1. Evt kan je voor (gebruikers)beheer middels een VPN remote toegang inregelen, zodat je niet naar de server hoeft toe te lopen, maar dan zijn de netwerken niet langer fysiek ontkoppeld.

Sterker nog, beide netwerken hangen aan het internet, dus zijn zowiezo fysiek gekoppeld

De firewall tussen AD1 en AD2 hoeft in jouw situatie dus niet beter/veiliger te zijn dan de firewall die de internetverbindingen beveiligd.

Of zoals paulhekje ook zegt: ga terug naar je functionele eisen. Met VLAN's en firewalls kan je echt wel veilige oplossingen creeren, hiervoor hoef je niet zo moeilijk te denken.

An investment in knowledge always pays the best interest - Benjamin Franklin

vrijdag 5 oktober 2007 16:01

Acties:

Muggie

8 pm

Useraccounts overtikken ?

LDIFDE anyone ?

Je zult hoe dan ook op een van de twee domeinen de accounts op moeten voeren, draai een LDIFDE eroverheen, maak wijzigingen waar nodig en importeer de hele bende in de andere AD. Anders werkt het niet want hoe wil je op een domein useraccounts opvoeren en ze op het andere domein ook actief hebben zonder een fysieke verbinding en zonder steeds heen en weer te gaan ?

Ik vind het trouwens vreemd dat je zegt dat ISA een te complexe oplossing is maar je wilt eventueel wel met RADIUS en RSA aan de slag, nou heb ik met beide systemen al aardig wat gedaan en ik moet zeggen dat ISA minder complex is dan RADIUS icm RSA, en een stuk minder werk ook ...

PSN: mug_8pm

vrijdag 5 oktober 2007 16:21

Acties:

paella

ISA is niet 1:1 vergelijkbaar met RADIUS...?!?! ISA kán zelf ook RADIUS praten, dus ik snap die vergelijking niet helemaal.

No production networks were harmed during this posting

zaterdag 6 oktober 2007 11:07

Acties:

Flyduck

Ik denk je de studenten een beetje overschat op hackersgebied..
Als je bv een radius server gebruikt en via firewalls en IPS alleen authenticatie packets doorlaat naar het leraren netwerk, en ook nog eens VLAN's gebruikts om studenten werkstations te scheiden van de uplink naar leraren netwerk heb je volgens mij een zeer veilige omgeving.

Je kan anders overwegen om te laten authenticeren tegen een offline domain controller die je af te toe aan het netwerk koppelt om te repliceren.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

zaterdag 6 oktober 2007 11:13

Acties:

BCC

Wat je zo voorsteld is idd niet mogelijk. Natuurlijk kun je twee netwerken gescheiden houden, maar dan zul je (per definitie) ook twee seperate internet verbindingen moeten. Hebben. Het fysiek scheiden van de twee netwerken klinkt trouwens heel mooi en veilig, maar als ze beide aan het internet hangen maakt dat het natuurlijk nogal een wassen neus oplossing. Wat is nou precies het probleem met de het gebruik van VLAN? Ja, je kan van netwerk A naar B als er wat verkeerd geconfigureerd is, maar dat kan bij een volledig gescheiden situatie net zo hard (via bijvoorbeeld het internet).

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

zaterdag 6 oktober 2007 14:18

Acties:

Kabouterplop01

chown -R me base:all

de vorm die TS aangeeft om vanaf een cd-tje te kopieeren is de eerste vorm van netwerken; sneakernet (Ook al wordt die definitie beschreven met floppies)
De beste en simpelste vorm is mijns insziens beschreven door Paul# en kan het meest eenvoudige worden gerealiseerd met de oplossing van trailblazer; 4 vlans;
1 management VLAN; gescheiden van alle andere netwerken, dmv ACL
2 Internet VLAN, gescheiden van alle andere netwerken
3 "eigen netwerk" gescheiden van alle andere netwerken
4 vlan voor replicatie AD gescheiden van alle andere netwerken

firewall in vlan 4, met alleen poorten voor replicatie/auth; console van FW in vlan 1 etc.

oh je moet dan wel aparte PC's hebben om te beheren, anders heeft het geen zin natuurlijk.
Volgens bovenstaande netwerkvorm kun je je netwerk heel netjes in security zones indelen.

[ Voor 13% gewijzigd door Kabouterplop01 op 06-10-2007 14:20 ]