donderdag 17 december 2009 14:42

Acties:
  • kroegtijger
  • Registratie: Juli 2001
  • Laatst online: 30-01 15:11

kroegtijger

Topicstarter
Graag wil ik ons netwerk wat beter gaan beveiligen. Nu kan er remote rechtstreeks op onze terminal server worden ingelogd zonder dat er eerst een VPN of iets dergelijks opgebouwd moet worden. Echt veilig en handig is dit niet.
Wat ik graag zou willen is dat een gebruiker verbinding maakt naar ons externe IP, en er vervolgens om een username / wachtwoord wordt gevraagd, en eventueel ook om een nummer zoals via RSA SecurID. Aan de hand daarvan moet het systeem vervolgens de gebruiker naar de juiste server doorsturen. Vrijwel alle gebruikers moeten naar de terminal server, maar er zijn ook wat externe partijen die op hun "eigen" server in ons netwerk moeten komen en die ik dus liever niet op de Terminal Server zie komen. (ze hebben dr niets te zoeken, dus waarom niet meteen naar hun eigen server toe worden geschopt?).

Belangrijk is dat op de client pc geen extra software moet worden geinstalleerd; het mag eventueel webbased, maar liever niet als 't niet noodzakelijk is.

Welke producten zijn hiervoor op de markt? Op de site van RSA kom ik wel het een en ander tegen, maar helemaal duidelijk wordt 't me allemaal niet.

iRacing Profiel

donderdag 17 december 2009 16:27

Acties:

Verwijderd

zelf mis ik nog wat informatie in dit verhaal:

- Hoeveel users gaat dit om?
- de 'eigen' servers, is dit ook via RDP verkeer?
- meerdere TSers?

daarnaast zou ik eens kijken naar verschillende webportals, wij zelf gebruiken citrix voor diverse publicaties van data/desktops/ts en dit is (tot zover dit veilig kan zijn) veilig genoeg voor onze klanten.

donderdag 17 december 2009 16:32

Acties:
  • AlterMann
  • Registratie: December 2000
  • Laatst online: 31-01 23:39

AlterMann

Citrix Access Gateway icm RSA tokens is wat je zoekt :) Webbased, geen extra software nodig, en door middel van rechten binnen Citrix kan je aangeven wie waarheen mag connecten. Eventueel kan je hier nog een VPN voor hangen, maar dan zit je weer met software op de client-pc's. Is wel heel secure natuurlijk :)

donderdag 17 december 2009 16:33

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 12:30

Rolfie

Wat is je butget er voor, RSA is nu niet echt goedkoop.

VPN bied veel mogelijkheden, en kan eigenlijk alles wat je wilt. PPTP is niet het meeste veiligste, maar L2TP of andere third party VPN oplossingen bieden goede mogelijkheden. Eventueel icm met RSA of een andere strong authenticatie mogelijkheid.

donderdag 17 december 2009 16:48

Acties:
  • scarface18
  • Registratie: December 2004
  • Laatst online: 30-12-2025

scarface18

Een oplossing die dit allemaal bied is bijvoorbeeld de SA2500 van juniper
http://www.juniper.net/sh...500/lbox-sa2500-right.jpg

hier ga je via https naartoe, de login word gecontroleerd aan de hand van de Active Directory via LDAP met of zonder RSA.
Vervolgens kun je aan de hand van de AD groepen rechten en terminalservers toekennen aan de gebruiker.

Geen software benodigt, die word de eerste keer via active x geinstalleerd, of met een java client ( wel slechtere performance), Daarnaast heb je ook de mogelijkheid om een VPN client te starten om (power) users directe verbinidng met het netwerk te laten maken.

enige nadeel, apparaat en licenties zijn niet goedkoop......daarom bieden wij ze managed aan O-)

[ Voor 3% gewijzigd door scarface18 op 17-12-2009 16:56 ]

donderdag 17 december 2009 17:21

Acties:
  • kroegtijger
  • Registratie: Juli 2001
  • Laatst online: 30-01 15:11

kroegtijger

Topicstarter
Verwijderd schreef op donderdag 17 december 2009 @ 16:27:
zelf mis ik nog wat informatie in dit verhaal:

- Hoeveel users gaat dit om?
- de 'eigen' servers, is dit ook via RDP verkeer?
- meerdere TSers?

daarnaast zou ik eens kijken naar verschillende webportals, wij zelf gebruiken citrix voor diverse publicaties van data/desktops/ts en dit is (tot zover dit veilig kan zijn) veilig genoeg voor onze klanten.
- Nu gaat het nog om een stuk of 25 users die vanaf buiten moeten kunnen inloggen, maar moet door kunnen groeien tot pakweg 100 users
- Mag, maar mag ook via een andere oplossing; als ze maar remote bij de server kunnen komen waar hun software op draait voor onderhoud hieraan.
- Nu draait er nog 1 TS, maar mogelijk dat dit op relatief korte termijn naar 2 gaat

iRacing Profiel

donderdag 17 december 2009 17:27

Acties:
  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 15:44

Archie_T

Welke windows draai je op deze servers? Onder Windows 2008 kan je redelijk makkelijk een portal bouwen (en is "gratis") En nog steeds het belangrijkste wat is je budget?

donderdag 17 december 2009 17:29

Acties:
  • kroegtijger
  • Registratie: Juli 2001
  • Laatst online: 30-01 15:11

kroegtijger

Topicstarter
scarface18 schreef op donderdag 17 december 2009 @ 16:48:
Een oplossing die dit allemaal bied is bijvoorbeeld de SA2500 van juniper
http://www.juniper.net/sh...500/lbox-sa2500-right.jpg

hier ga je via https naartoe, de login word gecontroleerd aan de hand van de Active Directory via LDAP met of zonder RSA.
Vervolgens kun je aan de hand van de AD groepen rechten en terminalservers toekennen aan de gebruiker.

Geen software benodigt, die word de eerste keer via active x geinstalleerd, of met een java client ( wel slechtere performance), Daarnaast heb je ook de mogelijkheid om een VPN client te starten om (power) users directe verbinidng met het netwerk te laten maken.

enige nadeel, apparaat en licenties zijn niet goedkoop......daarom bieden wij ze managed aan O-)
Dat ziet er inderdaad wel redelijk uit als hetgeen ik zoek :) Ik ga me eens in de SA-serie van Juniper verdiepen of dat inderdaad op onze wensen aansluit :) (Juniper was vroeger toch NetScreen dacht ik?)

iRacing Profiel

donderdag 17 december 2009 17:32

Acties:
  • kroegtijger
  • Registratie: Juli 2001
  • Laatst online: 30-01 15:11

kroegtijger

Topicstarter
Archie_T schreef op donderdag 17 december 2009 @ 17:27:
Welke windows draai je op deze servers? Onder Windows 2008 kan je redelijk makkelijk een portal bouwen (en is "gratis") En nog steeds het belangrijkste wat is je budget?
Alles draait onder 2003 R2.
Budget is niet zo belangrijk ('t moet wel realistisch blijven natuurlijk) maar de oplossing is belangrijker. Ik stel niet graag vooraf een budget en ga daarna eens kijken wat er in dat budget past; ik zoek liever eerst de oplossing en ga daarna kijken of die oplossing betaalbaar is en of de prijs die ervoor betaald moet worden het ons waard is.

iRacing Profiel

donderdag 17 december 2009 17:40

Acties:
  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 15:44

Archie_T

kroegtijger schreef op donderdag 17 december 2009 @ 17:32:
[...]

Alles draait onder 2003 R2.
Budget is niet zo belangrijk ('t moet wel realistisch blijven natuurlijk) maar de oplossing is belangrijker. Ik stel niet graag vooraf een budget en ga daarna eens kijken wat er in dat budget past; ik zoek liever eerst de oplossing en ga daarna kijken of die oplossing betaalbaar is en of de prijs die ervoor betaald moet worden het ons waard is.
Ok, Dan zou ik zeggen Citrix Access Gateways. Dat zijn ook gewoon rack based apparaten waar je dit allemaal mee kunt.

donderdag 17 december 2009 17:43

Acties:
  • kroegtijger
  • Registratie: Juli 2001
  • Laatst online: 30-01 15:11

kroegtijger

Topicstarter
Archie_T schreef op donderdag 17 december 2009 @ 17:40:
[...]

Ok, Dan zou ik zeggen Citrix Access Gateways. Dat zijn ook gewoon rack based apparaten waar je dit allemaal mee kunt.
Ga ik ook even bekijken dan :) Er is in ieder geval wel e.e.a te krijgen op de markt merk ik, dus dat wordt uitzoeken wat het beste bij ons past d:)b thanks

iRacing Profiel

donderdag 17 december 2009 17:57

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Je kan ook kijken naar een Cisco ASA5500.
Deze doet ook clientless SSL VPN.

Bekende fabrikanten van authenticatie tokens zijn o.a. RSA, Aladdin en Vasco.

Wat je zoekt zijn OTP tokens. (One-Time-Password)
Deze genereren een code. Met een PIN code en de OTP code kan je authentiseren.

Er zijn bijvoorbeeld ook USB tokens die met SSL certificaten werken, maar daarvoor moet je client software installeren.

Op de ASA kan je verschillende VPN groepen aanmaken.
(Verschillende afdelingen, verschillende klanten, enz.)
Per VPN groep kan je hier een andere policy aan hangen. ( Wat kan en mag. )

De ASA kan je integreren met Active Directory.
Het token systeem kan je hier ook mee integreren.

Een ASA5505-SSL25-K9 bundel doet max. 25 gelijktijdige SSL VPN sessies.
Ga je groeien, kijk dan naar een ASA5510.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

donderdag 17 december 2009 18:43

Acties:
  • scarface18
  • Registratie: December 2004
  • Laatst online: 30-12-2025

scarface18

kroegtijger schreef op donderdag 17 december 2009 @ 17:29:
[...]

Dat ziet er inderdaad wel redelijk uit als hetgeen ik zoek :) Ik ga me eens in de SA-serie van Juniper verdiepen of dat inderdaad op onze wensen aansluit :) (Juniper was vroeger toch NetScreen dacht ik?)
Netscreen is in het verleden overgenomen door Juniper, Overigens komen de SA producten vanaf Neoteris dat Netscreen als eens heeft opgekocht :)

vrijdag 18 december 2009 08:49

Acties:
  • KryTech
  • Registratie: Juni 2000
  • Laatst online: 15:14

KryTech

Als je kijkt naar een simpele goedkope oplossing met OTP:
http://www.smspasscode.com/

Software kan je rechtstreeks op de TS installeren en veranderd de GINA.
user logt in zoals altijd via RDP (RDP-TCP properites encryption level op HIGH zetten is de RDP verbinding versleuteld met 128bits). Na inloggen met user/password komt er een extra scherm waar om het OTP gevraagd wordt. Dit krijg je dan via SMS binnen, 06 nummers beheer je gewoon in AD.

Servers van leveranciers zelfde verhaal.

Oplossing die ik heb staan:
Internet -> firewall -> 2X TS loadbalancer -> firewall -> TS farm met smspasscode installed.
kosten zijn relatief laag, zeer eenvoudig te configueren, en 0 impact voor de users thuis.

vrijdag 18 december 2009 08:57

Acties:
  • Pumbaa82
  • Registratie: Maart 2001
  • Laatst online: 21-03-2024

Pumbaa82

Zie dat je hier richting producten word geloodst.

Maar wat je dus moet zoeken is een ssl-vpn
Deze heeft als eigenschap dat je een vpn verbinding opzet zonder dat je client software nodig hebt.

Of je die nu neemt van Citrix, Cisco of een andere partij lijkt me een afweging die je zelf moet maken.
Gebaseerd op de funcionaliteit die de partijen kunnen bieden en de kosten.

vrijdag 18 december 2009 15:14

Acties:
  • DGTL_Magician
  • Registratie: Februari 2001
  • Laatst online: 30-01 15:53

DGTL_Magician

Kijkt regelmatig vooruit

SSL VPN is inderdaad wat je nodig hebt. Ik heb zelf goede ervaringen met die van Cisco en Juniper.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

donderdag 31 december 2009 00:01

Acties:
  • LordMorgoth
  • Registratie: April 2003
  • Niet online

LordMorgoth

Valar Morghulis!

Vlak ook Sonicwall niet uit, de SSLVPN 2000 icm Vasco tokens (en vacman middleware) is een goedkoop en robust alternatief voor de (duurdere) Cisco's en Junipers.

Of gebruik gaan maken van Windows 2008 en de TS Gateway gebruiken: http://technet.microsoft....rary/cc731264(WS.10).aspx

[ Voor 29% gewijzigd door LordMorgoth op 31-12-2009 00:22 ]

Valar Morghulis! All men must die -- Jaqen H'ghar

donderdag 31 december 2009 11:41

Acties:
  • kroegtijger
  • Registratie: Juli 2001
  • Laatst online: 30-01 15:11

kroegtijger

Topicstarter
LordMorgoth schreef op donderdag 31 december 2009 @ 00:01:
Vlak ook Sonicwall niet uit, de SSLVPN 2000 icm Vasco tokens (en vacman middleware) is een goedkoop en robust alternatief voor de (duurdere) Cisco's en Junipers.

Of gebruik gaan maken van Windows 2008 en de TS Gateway gebruiken: http://technet.microsoft....rary/cc731264(WS.10).aspx
Heb vorige week een offerte mogen ontvangen met hierin 2 oplossingen; een Juniper en een SonicWall en de SonicWall was aanzienlijk goedkoper. Het verschil wordt met name in de licenties gemaakt. In aanschaf kost de juniper net geen 1800,- en de sonicwall net geen 1700,- Dat maakt dus weinig uit, maar bij SonicWall hoef ik geen licenties er meer bij te kopen voor de users, en bij Juniper komt er voor 25 users nog even 3500,- bij.

Alle2 kunnen vervolgens met RSA SecurID worden uitgevoerd. Daarmee gooit de SonicWall bij mij iig hoge ogen, maar de voor- en nadelen van de 2 devices moet ik nog even tegen elkaar houden. Mooi projectje voor volgend jaar :)

iRacing Profiel

donderdag 31 december 2009 17:11

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Check wel of je met die Juniper en SonicWall kan doorgroeien naar 100 gelijktijdig aantal sessies.

Zo heeft Cisco een bundel met een ASA5505 met 25 SSL licenties.
Maar die 25 sessies zijn het maximum voor dat platform.

Wil je later doorgroeien naar 100 gelijktijdig aantal SSL sessies, dan heb je een ASA5510 nodig met een losse SSL licentie voor 25 sessies. ( Is inclusief BTW ) De ASA5510 kan max. 250 gelijktijdig aantal SSL VPN sessies aan.

Verder moet je even kijken naar de verschillende functionaliteiten die de verschillende fabrikanten bieden.
( En wat je hiervan nodig hebt. ) Zo kan je op de ASA een webportal bouwen waar gebruikers op in kunnen loggen. ( Met customized logo, RSS feeds die je kan toevoegen om bijvoorbeeld werkzaamheden bekend te maken aan gebruikers, enz. )

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq