Toon posts:

Netwerk volledig opnieuw inrichten

Pagina: 1
Acties:

zondag 5 januari 2014 01:44

Acties:
  • LordMatanza
  • Registratie: Oktober 2002
  • Laatst online: 07-04-2023

LordMatanza

Topicstarter

[edit]

Keuze is bijna gemaakt, zie mijn laatste post!

[/edit]



Heren (en natuurlijk ook dames),

Ik ben part-time systeembeheerder bij een MKB bedrijf.
Het bedrijf heeft momenteel een netwerk wat hevig verouderd is en deels op consumenten componenten draait.
Het netwerk bestaat momenteel uit de volgende componenten:
  • 1x Linksys DSL router
  • 1x HP 16 poort unmanaged fast ethernet switch
  • 2x Linksys WLAN router tbv WIFI
  • 2x Server (o.a. DHCP, DNS, OpenVPN voor thuiswerkers en File Storage)
  • 5x Windows werkstations
  • 1x Windows laptop
Alles zit in hetzelfde subnet, zowel de servers als de WIFI clients!

Tevens moet ik erbij vermelden dat er op dit moment nog gebruik gemaakt wordt van een oude ISDN centrale welke men zou willen vervangen voor VOIP.

Nu wil ik dit netwerk gaan professionaliseren, vernieuwen en beter beveiligen.
Ik heb redelijk wat ervaring met netwerk technieken, maar niet met het opzetten van een netwerk design/architectuur).
Er is een op dit moment onbekend budget, maar men wil graag, dus er is wel wat mogelijk.

Met mijn beperkte kennis heb ik op dit moment de volgende opzet bedacht:
  • 1x DSL router met VOIP/SIP ondersteuning
  • 1x Cisco ASA 5505 (DHCP en IPSec VPN ipv OpenVPN)
  • 1x L2 managed switch of L3 managed switch ???
  • 2x Linksys WLAN router (behouden, maar in apart VLAN)
  • 2x Server (geen DHCP en OpenVPN meer)
Nu zijn mijn vragen als volgt:
  1. Wat denken jullie van deze opzet? Ziet dit er een beetje redelijk uit?
  2. Ik wil aparte VLAN's maken voor LAN, WLAN en VOIP. Zou dit nog verder opgesplitst moeten worden? Ik denk zelf dat dit niet nodig is, maar wellicht hebben jullie een goede reden om de servers in een apart VLAN te plaatsen?
  3. Als ik deze 3 VLAN's aan zou houden heb ik volgens mij genoeg aan de ASA 5505 Base license en heb ik geen Security Plus license nodig?
  4. Het lijkt mij dat een L2 managed switch voldoende is voor deze opzet, of zou ik een L3 managed switch nodig hebben ivm eventuele trunks?
  5. Zijn er volgens jullie nog zaken die ik over het hoofd zie of waar ik nog aan moet denken?

zondag 5 januari 2014 02:18

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Wat voor MKB bedrijf is het? Dat is wel handig om te weten.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zondag 5 januari 2014 02:23

Acties:
  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

Even een simpele wedervraag:

In je derde regel aangaande "beperkte kennis" wil je een L2/L3 switch plaatsen. Vanwaar deze keuze en waarom een L2 óf L3?

Boldly going forward, 'cause we can't find reverse

zondag 5 januari 2014 10:45

Acties:
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 22:02

Linke Loe

Waarom geen DHCP meer op je server? In een Active Directory omgeving is DHCP op een Windows server in je domein aan te raden.

zondag 5 januari 2014 11:39

Acties:
  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Houd er rekening mee dat die ASA een user limiet heeft. Elk apparaat wat door de NAT heen moet wordt als één user gezien. Printers, telefoons, tablets, computers, servers..elk apparaat telt voor één 'user'.

Een 10 user licentie zal dus te weinig zijn.

Verder bekruipt mij het gevoel dat je dit netwerk veel ingewikkelder wilt maken dan eigenlijk nodig is. VLAN's en dergelijke gebruik je om een netwerk in segmenten op te delen en beheersbaar te houden of voor extra beveiliging. Voor dat laatste heb je dan een firewall nodig die verkeer tussen de vlans kan afhandelen. Jouw ASA kan dat niet aan, tenzij je tevreden bent met 100mbit. Of je zit weer aan een andere firewall. Met uitzondering van misschien VoIP (en zelfs dat is discutabel met 6 users) lijken extra vlans mij hier zinloos.

Je hebt het overigens over trunks. Vergeet ook niet dat een ASA alleen trunks doet als er een Security Plus licentie in zit.
Linke Loe schreef op zondag 05 januari 2014 @ 10:45:
Waarom geen DHCP meer op je server? In een Active Directory omgeving is DHCP op een Windows server in je domein aan te raden.
Mee eens dat dit handiger is maar je kan prima DHCP door een ander apparaat af laten handelen. DNS, dat moet wel door een windows server afgehandeld worden.En zelfs dat hoeft niet perse maar je maakt het jezelf wel erg moeilijk anders :P

[ Voor 20% gewijzigd door Glashelder op 05-01-2014 11:41 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

zondag 5 januari 2014 11:46

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Waarom zou je IPsec ipv OpenVPN willen doen? IPsec zul je eerder tussen 2 netwerken of tussen server gebruiken. Lijkt mij overbodig tussen clients en netwerken. Daarnaast is IPsec een stuk zwaarder en zal het de verbinding enorm vertragen. Als je een sterk genoeg certificaat gebruikt voor OpenVPN zou ik dat gewoon netjes aanhouden.

Wat ik mis: een firewall (!). NAT is niet veilig genoeg. Je VLAN's zijn voor interne routering heel handig maar ik zie geen bescherming voor aanvallen van buitenaf. Kijk eens naar watchguard firewalls. Een bedrijf kan niet zonder. Immers, wat is de impact als je internetverbinding er uit ligt? Je geeft zelf aan beperkte kennis te hebben, hoe lang gaat het dan duren voor je weer 'up and running' bent?

Zie het ook als de beveiliging van je bedrijfspand. Je koopt toch ook niet je alarmsysteem pas als je bent beroofd? Die koop je ook van tevoren...

All-Round nerd | iRacing Profiel

zondag 5 januari 2014 12:01

Acties:
  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Sinds wanneer is een ASA geen firewall?

En enorm vertragen van IPSec ook wel lichtelijk overdreven.. Die ASA kan dat makkelijk aan en elke willekeurige PC ook.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

zondag 5 januari 2014 12:32

Acties:
  • KennieNL
  • Registratie: Mei 2007
  • Laatst online: 30-11 11:18

KennieNL

Let erop dat IPSec nog wel eens wat problemen wil geven met remote werkers... vaak genoeg ellende mee gehad met modems/routers etc. die niet overweg kunnen met IPSec.

SSL VPN is bij mij over het algemeen altijd stabieler geweest.

zondag 5 januari 2014 16:10

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Aangezien je beperkte netwerk kennis hebt, zou ik het niet moeilijk maken wat betreft configuratie en beheer.
  • 1x DSL router met VOIP/SIP ondersteuning
  • 1x Cisco Meraki MX60. (Tenzij je richting de toekomst meer users of snellere internet lijn krijgt.) Daarnaast een Enterprise licentie als je de standaard features wil hebben. Wil je daar boven op ook URL filtering en IPS doen (gebaseerd op Sourcefire, wat nu ook van Cisco is.) dan heb je een Advanced Security licentie nodig.
  • 1x Cisco Meraki MS220-24P 24 poorts PoE switch. (Voor je VoIP telefoons.)
  • 2x MR16 of MR24 access points. (Afhankelijk van de dekking.)
Vervolgens maak je 3 VLANs aan en 2 SSIDs:
  • Data VLAN / Data SSID
  • Voice VLAN / Voice SSID alleen als je Voice over Wifi wil doen.
  • VLAN voor gasten / SSID voor gasten
Een kind kan de was doen wat betreft configuratie en beheer. Gebruik je veel cloud diensten of als internet op een andere wijze belangrijk voor je is, kan je de MX security appliance voorzien van Dual WAN verbinding of 3G/4G backup. Gasten kunnen van het wifi gebruik maken via Splashscreen of Facebook Login. Bij de wireless AP's zit Mobile Device Management er gratis bij. Wil je telefonische support voor MDM, dan betaal je een kleine extra fee. Routing kan je via de MX Security appliance doen.

Voor de ASA heb je een security plus licentie nodig als je met volledige VLANs wil werken. (Plus meer users, want een standaard ASA5505 doet max. 10 simultane uitgaande IP adressen.) Je zit dan al snel aan een ASA5505-SEC-BUN-K9.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zondag 5 januari 2014 16:23

Acties:
  • Dennism
  • Registratie: September 1999
  • Laatst online: 22:54

Dennism

Ik denk dat Blackbird een leuke opzet heeft, Ik weet zo niet wat de prijzen zijn van Meraki, een mogelijk niet al te ingewikkeld alternatief is Sonicwall voor de routing, firewalling (+Gateway AV, IPS, DPI, URL filtering e.d.) en VPN. Ook deze appliances zijn goed te betalen voor het MBK (TZ of NSA series) en eventueel Wireless kan ook via de sonicwall (appliance kan tevens controller zijn voor sonicwall AP's).

Mocht het budget tegenvallen dan zou je voor Wireless ook naar bijv. Ubiquiti kunnen kijken, deze maken leuke AP's voor een zeer redelijke prijs.

zondag 5 januari 2014 16:25

Acties:

Verwijderd

Eens met Blackbird

Verder heb je nog niets gezegd over de services die op de servers draaien. Wat voor servers zijn dit?

zondag 5 januari 2014 17:28

Acties:
  • Sircuri
  • Registratie: Oktober 2001
  • Niet online

Sircuri

Volledig Appelig

Sonicwall VPN is een drama wat betreft VPN client software. Als je geen compatabiliteits issues wilt hebben bij je clients, zou ik gewoon bij Windows VPN blijven.
Voor klanten van ons moeten we en Cisco en sonicwall gebruiken om te verbinden. Beide draaien nu in aparte Windows vm instanties op onze laptops, omdat we niets andershadden dan gedoe met de clients. Vooral op Windows 8 is dat snel problematisch.

Signature van nature

zondag 5 januari 2014 17:39

Acties:
  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Dat is vooral gewoon een kwestie van de VPN client up-to-date houden. Bij een ASA bevindt die zich op de firewall en als je die niet up-to-date houdt krijg je gezeik met Windows 8 inderdaad. Maar daar is ook een simpele registery fix voor overigens ;)

En met een recente versie werkt de Cisco VPN client prima op Windows 8.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

zondag 5 januari 2014 18:22

Acties:
  • Dennism
  • Registratie: September 1999
  • Laatst online: 22:54

Dennism

Sircuri schreef op zondag 05 januari 2014 @ 17:28:
Sonicwall VPN is een drama wat betreft VPN client software. Als je geen compatabiliteits issues wilt hebben bij je clients, zou ik gewoon bij Windows VPN blijven.
Voor klanten van ons moeten we en Cisco en sonicwall gebruiken om te verbinden. Beide draaien nu in aparte Windows vm instanties op onze laptops, omdat we niets andershadden dan gedoe met de clients. Vooral op Windows 8 is dat snel problematisch.
Heb nog nooit problemen gehad met de sonicwall SSL-VPN client, ook niet op windows 8 na de offciele release. Moet wel zeggen dat ik 8.1 nog niet getest heb. Had je wel de laatste Sonicwall Client gedownload via mysonicwall, want de ingebouwde SSL-VPN client download optie is geloof ik firmware afhankelijk, en als de klant dus zijn firmware niet bijhoud kan het geloof ik zo zijn dat ook de SSL client niet up-to-date is.

zondag 5 januari 2014 22:50

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Glashelder schreef op zondag 05 januari 2014 @ 12:01:
Sinds wanneer is een ASA geen firewall?

En enorm vertragen van IPSec ook wel lichtelijk overdreven.. Die ASA kan dat makkelijk aan en elke willekeurige PC ook.
Voor zover ik kan zien doet de ASA alleen IPS en geen IDS. Dat kan geen totaaloplossing zijn. Daarnaast, je router en firewall in 1 systeem? Je maakt het de hackertjes van tegenwoordig dan wel erg moeilijk. Denk aan je lines of defence :)

Daarnaast zijn de VLAN's prima, maar plaats de internet-facing servers wel in een DMZ.

All-Round nerd | iRacing Profiel

maandag 6 januari 2014 11:02

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Een ASA doet IPS en IDS. (Ligt er aan hoe je hem configureert.) Natuurlijk wil je een IPS om malware te stoppen. Een IDS detecteert alleen. Als je Rabobank heet en je hebt geld teveel, dan kan je apparaten los trekken en apparte units aanschaffen voor routing, firewalling, VPN, etc. Voor een MKB bedrijf heb je daar het budget niet voor. Dat TS misschien niet weet hoe hij een ASA moet configureren, zie ik eigenlijk als een groter security risico.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

maandag 6 januari 2014 12:37

Acties:
  • sakbari
  • Registratie: April 2011
  • Laatst online: 30-12-2024

sakbari

ik adviseer je om je data en VOIP verkeer te scheiden. je zou voor de VOIP een 2de PVC kunnen nemen bij je provider.

maandag 6 januari 2014 14:39

Acties:
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 22:02

Linke Loe

Bl@ckbird schreef op maandag 06 januari 2014 @ 11:02:
Een ASA doet IPS en IDS. (Ligt er aan hoe je hem configureert.)
Ligt er natuurlijk ook aan of je het geld wil uitgeven aan een IPS module... Met andere woorden: een ASA doet out-of-the-box geen IPS, tenzij je er een IPS module in stopt (of softwarematig activeert in de ASA5500-X series).

maandag 6 januari 2014 15:45

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Voor de ASA5505 en ASA5500 (non-X) wordt IPS niet meer verkocht. Bij de ASA5500-X is het idd een licentie en tegenwoordig ook als licentie van content filtering met de CX software.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 7 januari 2014 14:55

Acties:
  • LordMatanza
  • Registratie: Oktober 2002
  • Laatst online: 07-04-2023

LordMatanza

Topicstarter
Sorry dat ik nu pas reageer, mijn zoontje was jarig en ben een paar dagen "offline" geweest.

Het gaat om een garagebedrijf voor vrachtwagens.
De toepassingen waarvoor men computers gebruikt zijn drieledig:
  • administratie
  • APK afmelden
  • Sensors wagens uitlezen (laptop)
Voor de administratie zijn we sinds dit jaar begonnen met een cloudoplossing (Exact Online), hiervoor is dus een internet verbinding essentieel.
Voor APK afmelden is natuurlijk ook een internet verbinding nodig.
Om de sensors e.d. van de wagens uit te kunnen lezen gebruiken we de laptop, deze heeft enkel een internet verbinding nodig voor updates en moet bij een printer kunnen komen.
Vandaar dat ik voor WLAN een eigen VLAN had bedacht, deze hoeft niet bij het gehele netwerk te kunnen komen.
Verder draaien er weinig tot geen echte applicaties waarvoor het netwerk nodig is.
Een gigabit verbinding is dus absoluut geen vereiste.

De internet lijn betreft momenteel een karige 8mbit/1mbit lijn, sneller is momenteel via DSL niet haalbaar op ons industrieterrein.

We gebruiken ook geen Exchange, aangezien we afgelopen jaar zijn overgestapt naar Google Apps, dus ook een cloudoplossing.

Verder ben ik van plan om de 2 servers die we nu hebben (1x Windows en 1x Linux) beide naar Linux te krijgen, aangezien we geen Windows server-client applicaties (meer) gebruiken.

De enige services die momenteel draaien op de servers zijn: DNS, DHCP, Squid (HTTP proxy server), Samba (file sharing), OpenVPN, BackupPC (Linux Backup server applicatie) en RSync voor remote backups.

De DNS wil ik wel graag zelf op een server blijven doen, maar DHCP mag gerust naar de router toe, ik zie daar het probleem niet in.

Een DMZ is inderdaad wel verstandig, die is volgens mij enkel nodig voor de Squid (HTTP Proxy) server.
Wanneer ik jullie advies hoor, blijf ik misschien toch wel bij de OpenVPN oplossing, en dan kan die ook in de DMZ geplaatst worden, maar ik vond het idee wel fijn om VPN een onderdeel van de ASA te laten zijn.

De standaard ASA 5505 is inderdaad niet voldoende vanwege die 10 user licentie. Ik had eigenlijk de ASA5505-SEC-BUN-K9 ook al op het oog, mede vanwege de mogelijkheid tot trunking en betere ondersteuning voor VLAN's.

Ik moet zeggen dat die Meraki opzet via SNMP er wel erg netjes uitziet.
Is inderdaad zeer simpel in configuratie en beheer, waarschijnlijk prettiger in gebruik dan de ASA.
URL filtering vindt ik niet nodig, IPS weet ik eigenlijk niets over.
Ik kan moeilijk inschatten of IPS een noodzaak is, een should have of wellicht zelfs could have.

Ik had voor de ASA gekozen omdat deze voor mij overkomt als een goed apparaat wat veel mogelijkheden in 1 doos heeft.
Echter was ik wel een klein beetje bang voor de configuratie ervan, aangezien het wel gericht is op ervaren Cisco beheerders, iets wat ik niet ben.
De Meraki lijkt in dat opzicht voor mij vele voordelen te bieden, echter zou ik dan wel bij OpenVPN blijven als ik de reacties lees over IPSec etc.

dinsdag 7 januari 2014 15:00

Acties:
  • LordMatanza
  • Registratie: Oktober 2002
  • Laatst online: 07-04-2023

LordMatanza

Topicstarter
sakbari schreef op maandag 06 januari 2014 @ 12:37:
ik adviseer je om je data en VOIP verkeer te scheiden. je zou voor de VOIP een 2de PVC kunnen nemen bij je provider.
Waarom zou ik VOIP fysiek willen scheiden van mijn netwerk?
Een aparte VLAN lijkt mij toch voldoende?
Er vinden eigenlijk nooit meer dan 2 gesprekken tegelijk plaats, dus een zware belasting voor het netwerk zal het niet zijn.

VOIP over WIFI is overigens ook niet nodig, dan zou ik eerder kiezen voor een DECT handset met een basisstation op UTP.

dinsdag 7 januari 2014 15:00

Acties:
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Een ASA is een draak om te configureren en beheren. Het is mega stabiel, maar zeker niet gebruiksvriendelijk. Wat dat betreft kan je 10x beter Meraki hebben.

Owner of DBIT Consultancy | DJ BassBrewer

dinsdag 7 januari 2014 15:03

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

LordMatanza schreef op dinsdag 07 januari 2014 @ 14:55:

Ik kan moeilijk inschatten of IPS een noodzaak is, een should have of wellicht zelfs could have.
Je maakt een grapje hoop ik? Zijn al je klanten zakelijke contacten, of ook particulier? Registreer je gegevens van de medewerkers intern? If so, dan verwerk je persoonsgegevens. volgens de Wet Bescherming Persoonsgegevens ben je verplicht om een melding te doen bij het CBP als je gegevens verwerkt en welke maatregelen je neemt om ze te beveiligen. Het CBP beoordeelt vervolgens of je extra maatregelen moet nemen of niet. Een IPS/IDS is daarom een must have!

Waar ik me trouwens ook zorgen over maak is het feit dat jullie google apps gebruiken. Europese wetgeving verplicht europese organisaties data binnen de EU op te slaan. Dit om de veiligheid van je klanten en jouw organisatie te kunnen garanderen. In Amerika en China bestaan wetten die datacenters verplichten de overheid toegang te geven tot alle data die zij hebben. Als je gebruik maakt van Google Apps (mail, docs etc) weet je niet eens waar je data staat, laat staan wie er bij kan (!).

All-Round nerd | iRacing Profiel

dinsdag 7 januari 2014 15:08

Acties:
  • LordMatanza
  • Registratie: Oktober 2002
  • Laatst online: 07-04-2023

LordMatanza

Topicstarter
w4rguy, wat is volgens jou dan het verschil tussen Google Apps of Office 365?
Beide diensten worden door steeds meer bedrijven in Nederland gebruikt als corporate mailing systeem.
Je gaat mij niet vertellen dat al deze bedrijven in strijd met de Europese wetgeving handelen?

Je punt over IPS/IDS vind ik wel goed, dit neem ik zeker mee in mijn besluitvorming.

[ Voor 13% gewijzigd door LordMatanza op 07-01-2014 15:09 ]

dinsdag 7 januari 2014 15:12

Acties:
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

LordMatanza schreef op dinsdag 07 januari 2014 @ 15:08:
w4rguy, wat is volgens jou dan het verschil tussen Google Apps of Office 365?
Niks, Office 365 staat ook niet in Nederland....

Owner of DBIT Consultancy | DJ BassBrewer

dinsdag 7 januari 2014 15:13

Acties:
  • Mohy
  • Registratie: Oktober 2001
  • Laatst online: 12-11 22:14

Mohy

Star Citizen

w4rguy schreef op dinsdag 07 januari 2014 @ 15:03:
[...]

Waar ik me trouwens ook zorgen over maak is het feit dat jullie google apps gebruiken. Europese wetgeving verplicht europese organisaties data binnen de EU op te slaan. Dit om de veiligheid van je klanten en jouw organisatie te kunnen garanderen. In Amerika en China bestaan wetten die datacenters verplichten de overheid toegang te geven tot alle data die zij hebben. Als je gebruik maakt van Google Apps (mail, docs etc) weet je niet eens waar je data staat, laat staan wie er bij kan (!).
Europese overheidsinstanties hebben deze beperking, niet bedrijven.

Si vis pacem, para bellum

dinsdag 7 januari 2014 15:14

Acties:
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Mohy schreef op dinsdag 07 januari 2014 @ 15:13:
[...]


Europese overheidsinstanties hebben deze beperking, niet bedrijven.
Inderdaad. Anders was half Europa in overtreding met servers bij Amazon, mail bij Google of Microsoft of servers in het buitenland :D

Owner of DBIT Consultancy | DJ BassBrewer

dinsdag 7 januari 2014 15:17

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

LordMatanza schreef op dinsdag 07 januari 2014 @ 15:08:
w4rguy, wat is volgens jou dan het verschil tussen Google Apps of Office 365?
Beide diensten worden door steeds meer bedrijven in Nederland gebruikt als corporate mailing systeem.
Je gaat mij niet vertellen dat al deze bedrijven in strijd met de Europese wetgeving handelen?
Het verschil: Welk bedrijf je je geld aan geeft.
Of veel bedrijven handelen in strijd met Europese wetgeving? Jazeker! Alleen niemand kent de wetgeving en is zich dus niet bewust van de risico's. Zoiets moet je simpelweg niet willen (ook niet als het niet verplicht wordt door wetgeving).

Sowieso leg je de afhankelijkheid bij een ander neer. Jij bent niet de afhankelijkheid die gehackt kan worden, maar wat als morgen groot in het nieuws staat:"Google Apps gehackt".... hoeveel bedrijven denk je dat er gaan stuiteren? Het is hetzelfde als met zijn allen in een vrachtauto gaan zitten die er goed uit ziet. Maar wat nou als de chauffeur een foutje maakt? Dan ga je met zijn allen naar de kl*ten.

Oké, realistisch blijven, het kan geen oplossing zijn om dat intern te gaan behandelen. Maar zijn er geen Nederlandse cloudmail leveranciers? Of eventuele garanties/SLA's dat je gegevens de EU niet verlaten? Volgensmij zijn er wel bedrijven die dit soort diensten leveren aan het soort bedrijven waarin je zelf werkzaam bent. Ik heb vroeger bij een autoschadebedrijf gewerkt en die hebben dit soort diensten uitbesteed. Een organisatie heeft al het spul staan en zij maken er gebruik van.

[ Voor 11% gewijzigd door w4rguy op 07-01-2014 15:20 ]

All-Round nerd | iRacing Profiel

dinsdag 7 januari 2014 15:20

Acties:
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

Waarom heb je een DNS server nodig? Waarom niet die van de internet provider gebruiken? Waar gebruik je Squid voor? Volgens mij zijn de enige echte requirements VPN, SMB, backup en VOIP.
Is het dan niet praktischer om een hosted VOIP oplossing te gebruiken en een NAS neer te zetten voor VPN, SMB en backup?
Netwerk pak je gewoon een paar gigabit switches en de huidige WLAN accesspoints voor. Niet moeilijk doen met aparte VLAN, DHCP gewoon naar de router toe.
Dan bespaar je volgens mij aardig op onderhoud, maak je het netwerk een stuk simpeler en boek je niets in aan gebruikerservaring.
Waarom zou een standaard (consumenten) router niet genoeg beveiliging bieden? Wanneer je systemen individueel ook beveiligt zijn en je storage ook goed beveiligt is loop je geen onaanvaardbaar risico.

Wanneer je overschakelt naar hosted VOIP heb je in principe al je kritische applicaties (Exact, VOIP en APK) online zitten en heb je daar zelf geen zorgen meer voor. Enkel zorgen dat je internet verbinding up blijft, daar eventueel SLA voor afsluiten of een redundante verbinding aanschaffen.

Een dergelijke setup die ze nu hebben en die jij voorstelt lijkt erg handig in een grote omgeving maar ik heb het idee dat het te veel complexiteit en kosten introduceert die niet nodig zijn. IT'ers willen vaak te ingewikkelde oplossingen introduceren die niet passen bij het bedrijf.

Ik heb zelf een oud stagebedrijf geholpen met de overstap naar hosted e-mail, hosted VOIP, hosted administratie en voor storage een Synology NAS met backup systeem. Ze kunnen alle systemen zelf beheren en hebben mij enkel nodig bij ingrijpende veranderingen of grote problemen.

@w4rguy: Vergeet je niet waar het nu werkelijk om gaat? Een bedrijf dat vrachtwagens onderhoud. Ja, ze werken met persoonsgegevens. Maar, zijn deze gegevens extreem gevoelig dat je dermate veel energie en tijd gaat steken in een uitgebreid systeem? Dan verlies je in mijn ogen echt de situatie uit het oog en ga je puur redeneren vanuit boekjes en NEN normering. Leuk voor ziekenhuizen, banken, verzekeraars,... maar niet voor een garagebedrijf.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 7 januari 2014 15:23

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Tsurany schreef op dinsdag 07 januari 2014 @ 15:20:
@w4rguy: Vergeet je niet waar het nu werkelijk om gaat? Een bedrijf dat vrachtwagens onderhoud. Ja, ze werken met persoonsgegevens. Maar, zijn deze gegevens extreem gevoelig dat je dermate veel energie en tijd gaat steken in een uitgebreid systeem? Dan verlies je in mijn ogen echt de situatie uit het oog en ga je puur redeneren vanuit boekjes en NEN normering. Leuk voor ziekenhuizen, banken, verzekeraars,... maar niet voor een garagebedrijf.
Mag ik je BSN of Sofinummer? Nee? Oké, dan is het dus wél van toepassing. Want als jij als bedrijf belastingformulieren registreert van je medewerkers ben je in het bezit van die gegevens, al dan niet digitaal.
Tsurany schreef op dinsdag 07 januari 2014 @ 15:20:
Waarom heb je een DNS server nodig?
Active Directory werkt niet zonder DNS.... Ik neem aan dat gebruik gemaakt wordt van een Active Directory?

All-Round nerd | iRacing Profiel

dinsdag 7 januari 2014 15:24

Acties:
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

w4rguy schreef op dinsdag 07 januari 2014 @ 15:23:
[...]


Mag ik je BSN of Sofinummer? Nee? Oké, dan is het dus wél van toepassing. Want als jij als bedrijf belastingformulieren registreert van je medewerkers ben je in het bezit van die gegevens, al dan niet digitaal.
Wat een onzin zeg. Dan is echt 80% van de bedrijven hier in strijd met de wet bezig. Zoals iemand al riep :

Europese overheidsinstanties hebben deze beperking, niet bedrijven.
[...]

Active Directory werkt niet zonder DNS.... Ik neem aan dat gebruik gemaakt wordt van een Active Directory?
Aannames... aannames....

Owner of DBIT Consultancy | DJ BassBrewer

dinsdag 7 januari 2014 15:30

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

DennusB schreef op dinsdag 07 januari 2014 @ 15:24:
[...]

Wat een onzin zeg. Dan is echt 80% van de bedrijven hier in strijd met de wet bezig. Zoals iemand al riep :

Europese overheidsinstanties hebben deze beperking, niet bedrijven.
De beperking is alleen geldig op het registreren van bestanden buiten de EU. Ieder bedrijf dat persoonsgegevens verwerkt (bijna elk bedrijf(!)) moet deze dusdanig beveiligen. Het is te gek voor woorden om er van uit te gaan dat endpoint security en een NAT-routertje daar voldoende in zijn.

Even toegevoegd, artikel 13 van de Wet Bescherming Persoonsgegevens:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Dus, als jij als bedrijf zijnde je medewerker vraagt een loonverklaringsformulier in te vullen. Met daarop zijn naam, achternaam, handtekening, BSN nummer, dan verwerk je sowieso al zeer gevoelige persoonsgegevens. Veel bedrijven maken ook kopieën van identiteitskaarten/paspoorten bij het in dienst nemen van personeel (waar weer je BSN/geboortedatum/pasfoto/geslacht e.d. op staan).

Voor meer informatie over de meldingsplicht van verwerking persoonsgegevens bij het CBP verwijs ik je even hier naartoe: http://www.cbpweb.nl/Pages/ind_melden.aspx

All-Round nerd | iRacing Profiel

dinsdag 7 januari 2014 15:31

Acties:
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

w4rguy schreef op dinsdag 07 januari 2014 @ 15:23:
Mag ik je BSN of Sofinummer? Nee? Oké, dan is het dus wél van toepassing. Want als jij als bedrijf belastingformulieren registreert van je medewerkers ben je in het bezit van die gegevens, al dan niet digitaal.
Er is een verschil tussen data vrijwillig afstaan en data bij een externe provider hebben staan waar de overheid wel eens een data verzoek zou kunnen indienen.
Active Directory werkt niet zonder DNS.... Ik neem aan dat gebruik gemaakt wordt van een Active Directory?
Ik zie ook geen noodzaak voor Active Directory in een omgeving met 6 systemen. Een single point of failure in een bedrijf zonder vaste IT'er waarbij het werk ook nog geen Active Directory vraagt.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 7 januari 2014 15:32

Acties:
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

w4rguy schreef op dinsdag 07 januari 2014 @ 15:30:
[...]


De beperking is alleen geldig op het registreren van bestanden buiten de EU. Ieder bedrijf dat persoonsgegevens verwerkt (bijna elk bedrijf(!)) moet deze dusdanig beveiligen. Het is te gek voor woorden om er van uit te gaan dat endpoint security en een NAT-routertje daar voldoende in zijn.

Even toegevoegd, artikel 13 van de Wet Bescherming Persoonsgegevens:

[...]


Dus, als jij als bedrijf zijnde je medewerker vraagt een loonverklaringsformulier in te vullen. Met daarop zijn naam, achternaam, handtekening, BSN nummer, dan verwerk je sowieso al zeer gevoelige persoonsgegevens. Veel bedrijven maken ook kopieën van identiteitskaarten/paspoorten bij het in dienst nemen van personeel (waar weer je BSN/geboortedatum/pasfoto/geslacht e.d. op staan).

Voor meer informatie over de meldingsplicht van verwerking persoonsgegevens bij het CBP verwijs ik je even hier naartoe: http://www.cbpweb.nl/Pages/ind_melden.aspx
Dat soort documenten staan toch op de file server die bij die garage zelf staan. Het gaat om mail......

Owner of DBIT Consultancy | DJ BassBrewer

dinsdag 7 januari 2014 15:37

Acties:
  • The Lord
  • Registratie: November 1999
  • Laatst online: 01-12 11:38

The Lord

Om nog even semi off-topic terug te komen op het gebruik van Google Apps binnen het bedrijf.

Half Europa is op dit moment inderdaad in overtreding als het om privacy gevoelige data (verwerking/opslag) gaat bij het gebruik van veel cloud gebaseerde diensten.

Er is een reden dat bijvoorbeeld Microsoft garanties kan (en wil) geven dat de data in Europa blijft.

Meer concreet kijkend naar de WBP is de kans klein dat het verwerken van persoonsgegevens in een Google Apps omgeving mag zonder extra maatregelen te treffen.

Nog even los daarvan raad ik je heel erg aan de voorwaarden goed door te nemen; ongeacht de aanbieder trouwens.

Bij een traject voor cloud based outsourcing waar ik bij betrokken ben geweest is Google vanwege die voorwaarden afgevallen. Op de vlakken beschikbaarheid, vertrouwelijkheid en integriteit kon Google Apps niet aan de gestelde eisen voldoen.

geeft geen inhoudelijke reacties meer

dinsdag 7 januari 2014 15:37

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Tsurany schreef op dinsdag 07 januari 2014 @ 15:31:
[...]

Er is een verschil tussen data vrijwillig afstaan en data bij een externe provider hebben staan waar de overheid wel eens een data verzoek zou kunnen indienen.

[...]

Ik zie ook geen noodzaak voor Active Directory in een omgeving met 6 systemen. Een single point of failure in een bedrijf zonder vaste IT'er waarbij het werk ook nog geen Active Directory vraagt.
De WBP beschermt je niet tegen overheden die wel eens een verzoek in zouden kunnen dienen. De WBP beschermt je tegen al het onheil van buitenaf, als persoon. Het is de verplichting van de verantwoordelijke (het bedrijf in dezen) om passende organisatorische en technische maatregelen te nemen om dit te voorkomen. Endpoint security en een NAT-routertje kan hier niet voldoende in zijn, en dan spreek ik uit ervaring van audits bij bedrijven die eenzelfde soort opstellingen hadden en ook kwetsbaar waren voor aanvallen van buitenaf.

Wat betreft AD geef ik je gelijk, het lijkt me niet heel handig AD te faciliteren. Maar, als zij wel AD willen of hebben, moeten ze ook DNS hebben.
DennusB schreef op dinsdag 07 januari 2014 @ 15:32:
[...]


Dat soort documenten staan toch op de file server die bij die garage zelf staan. Het gaat om mail......
Mail was het ene discussiepunt. Documenten die op een fileserver intern in het netwerk staan zijn ook kwetsbaar voor aanvallen van buitenaf. En ook daar is een NAT-routertje dus niet voldoende. Daarvan zegt de WBP dus: passende technische en organisatorische maatregelen zijn verplicht. Zelfs als je bent vrijgesteld van de meldingsplicht moet je nog voldoen aan de eisen die de WBP stelt voor de bescherming van persoonsgegevens.

[ Voor 6% gewijzigd door w4rguy op 07-01-2014 15:40 ]

All-Round nerd | iRacing Profiel

dinsdag 7 januari 2014 15:42

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:16

Jazzy

Moderator SSC/PB

Moooooh!

LordMatanza schreef op dinsdag 07 januari 2014 @ 15:08:
w4rguy, wat is volgens jou dan het verschil tussen Google Apps of Office 365?
Beide diensten worden door steeds meer bedrijven in Nederland gebruikt als corporate mailing systeem.
Je gaat mij niet vertellen dat al deze bedrijven in strijd met de Europese wetgeving handelen?
Het probleem is dus dat veel organisaties niet weten aan welke eisen ze moeten voldoen. Het zou bijvoorbeeld best wel eens kunnen zijn dat het bedrijf uit dit topic een bewaarplicht heeft van 7 jaar op (een deel van) de financiële administratie. De eerste vraag is dan al hoe ze dat kunnen verantwoorden als de data bij Exact Online in het datacenter staat.

Als IT-er kun je vooral de juiste vragen stellen maar als de klant aangeeft dat er geen wet- of regelgeving van toepassing is dan houdt het een keer op. Of klant nou gelijk heeft of niet, dat is voor ons infra-mensen vaak moeilijk in te schatten.

In dit topic is de discussie over de WBP dan ook een beetje offtopic, tenzij de TS weet te vertellen welke functionele zaken hij technisch op zou willen lossen.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 7 januari 2014 15:42

Acties:
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

w4rguy schreef op dinsdag 07 januari 2014 @ 15:37:

Mail was het ene discussiepunt. Documenten die op een fileserver intern in het netwerk staan zijn ook kwetsbaar voor aanvallen van buitenaf. En ook daar is een NAT-routertje dus niet voldoende. Daarvan zegt de WBP dus: passende technische en organisatorische maatregelen zijn verplicht. Zelfs als je bent vrijgesteld van de meldingsplicht moet je nog voldoen aan de eisen die de WBP stelt voor de bescherming van persoonsgegevens.
Daarom gaat t ook over een IPS

Owner of DBIT Consultancy | DJ BassBrewer

dinsdag 7 januari 2014 15:47

Acties:
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

w4rguy schreef op dinsdag 07 januari 2014 @ 15:37:
Mail was het ene discussiepunt. Documenten die op een fileserver intern in het netwerk staan zijn ook kwetsbaar voor aanvallen van buitenaf. En ook daar is een NAT-routertje dus niet voldoende. Daarvan zegt de WBP dus: passende technische en organisatorische maatregelen zijn verplicht. Zelfs als je bent vrijgesteld van de meldingsplicht moet je nog voldoen aan de eisen die de WBP stelt voor de bescherming van persoonsgegevens.
En wat zijn dan passende technische en organisatorische maatregelen? Mail staat veilig bij een externe partij. Verbinding naar de mailserver is versleuteld en toegang beheerd via wachtwoorden waarbij je zelf kan afdwingen hoe complex deze moeten zijn.
Interne data beveilig je met een NAT router en daarnaast een storage omgeving die aparte verificatie vereist. Ook hier dwing je bepaalde wachtwoord sterkte af.

Dat lijkt mij een passende technische oplossing. Organisatorisch zorg je er voor dat enkel de daartoe bevoegde afdelingen toegang hebben tot de shares met deze gegevens.

Ik zie dat je een achtergrond hebt in dit vakgebied, dan ben je al snel geneigd alles heel professioneel te benaderen en daar indoor te slaan. Neem in ogenschouw wat de klant voor bedrijf is en met welke gegevens ze om gaan.

Wat je namelijk ook doet is een hoge technische complexiteit introduceren waar de medewerkers zelf niet mee om kunnen gaan en waarbij ze altijd een afhankelijkheid hebben van een extern persoon. Zal dat werkelijk de data beter beveiligen of zal data daardoor vaker op USB stickjes staan wat inherent onveilig is?

[ Voor 10% gewijzigd door Tsurany op 07-01-2014 15:48 ]

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 7 januari 2014 15:59

Acties:
  • Mohy
  • Registratie: Oktober 2001
  • Laatst online: 12-11 22:14

Mohy

Star Citizen

w4rguy schreef op dinsdag 07 januari 2014 @ 15:30:
[...]

Ieder bedrijf dat persoonsgegevens verwerkt (bijna elk bedrijf(!)) moet deze dusdanig beveiligen.
Je past de scoop aan van je betoog. Voor persoonsgevoelige gegevens heb je zeker een punt. Maar eerst claim je dat het om alle data gaat.

Voor persoonsgevoelige data zijn er inderdaad strenge eisen en het is zeker raadzaam om hier goed over na te denken. Dus hiermee heeft w4rguy zeker een punt. Echter dit is niet alleen een ICT vraagstuk, maar zeker een organisatorisch vraagstuk voor je opdrachtgever.

Si vis pacem, para bellum

dinsdag 7 januari 2014 16:01

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Tsurany schreef op dinsdag 07 januari 2014 @ 15:47:
[...]
Ik heb je even een DM gestuurd omdat ik het een interessante discussie vind maar we gaan wel erg offtopic nu. Sorry voor het oponthoudt, en nu verder :)

All-Round nerd | iRacing Profiel

dinsdag 7 januari 2014 22:14

Acties:
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Als ik jou was zou ik eens kijken naar de producten van:
Fortinet - Fortigate, super complete producten en RDS/ICA/VPN/IDS/VLAN out of the box. Werkt makkelijk, intuïtief en bang voor de buck. Als je een ASA vergelijkt met dit product dan koop je voor het geld van een ASA een Fortigate cluster. Tevens web proxy (transparent) met anti virus/malware en mail protectie.
Juniper - Wat duurder en beperkter, maar ook van alles mogelijk.
Watchguard - In de prijsklasse van Juniper, maar ook wat beperkter t.o.v. de Fortigate.

Tevens voordelen van de Fortigates, meerdere 1Gbps poorten, native trunking/bonding zonder extra licenties, IPv4/IPv6 support, Virtual Domains, Hoge througput, dus ideaal om in te zetten tussen diverse VLAN's bijvoorbeeld DMZ, WiFi segment etc.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 8 januari 2014 14:07

Acties:
  • LordMatanza
  • Registratie: Oktober 2002
  • Laatst online: 07-04-2023

LordMatanza

Topicstarter
Heren,

Ik ben erg blij dat jullie de persoonsgegevens van onze werknemers zo serieus nemen.
Maar de discussie raakt nu wel erg ver verwijderd van mijn vraag.
Ik heb aangegeven dat mijn kennis op het gebied van zakelijke netwerken beperkt is, maar dat ik mijn netwerk wel graag verbeterd en beveiligd zie.

Dat er wetten zijn voor bescherming van persoonsgegevens is niet aan mij, ik krijg de opdracht om het netwerk veiliger te maken, niet wetten na te lezen of dat mijn opdrachtgever wel correct handelt.

Deze discussie is ontstaan door 2 zaken, het feit dat wij Google Apps gebruiken en dat ik de termen IPS/IDS niet kende.
Mijn vraag heb ik juist gesteld om dit soort kennis mee te kunnen nemen in mijn overweging.

Ik heb me wat ingelezen en IPS/IDS klinkt als een flinke vooruitgang op wat we nu hebben.
Wanneer ik voor de Meraki MX60 zou gaan met Advanced Security zit hier meteen IPS in, dat lijkt mij een flinke stap voorwaarts en conform huidige standaarden.
Het feit dat wij Google Apps gebruiken is niets vreemds in deze tijd en ik stel die dienst dan ook niet ter discussie in mijn vraag, meer als mededeling om aan te geven dat we geen Exchange gebruiken.

Ik lees ook mensen over Active Directory, we hebben op dit moment nog een Windows server, maar deze gaat er met de tijd uit.
Active Directory gebruiken we dus niet, elke machine heeft 1 eigen user account, dat is op dit moment goed genoeg voor ons (slechts 5 vaste werkstations!).

DNS gebruik ik meer om interne machines via Dynamic DNS beschikbaar te maken tbv remote management en om een interne webpagina van werkende .lan URL te kunnen voorzien.
Ik gebruik DNS dus niet voor Active Directory.

Meraki vindt ik een mooie oplossing, ik zal me ook eens inlezen in Fortinet/Fortigate, Juniper en Watchguard.

donderdag 9 januari 2014 13:49

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 26-11 16:03

Mikey!

Wat betreft beheer en stabiliteit is Meraki echt een uitkomst, het configureren via de Cloud gaat snel en gemakkelijk en behoeft geen uitgebreide kennis van protocollen en hun werking. Binnen no-time heb je een Layer 7 Firewall met QoS, WAN optimization, VPN's opgetuigd :D

Tevens geeft Meraki een hoop inzicht op wat er gebeurd op het netwerk middels een hoop statistieken en grafiekjes. Als je hieraan de (gratis) Systems Manager toevoegd heb je in één klap ook beheer over PC's, laptops, Smartphones en Tablets. Je kan beperkingen uitoefenen, remote beheer, je krijgt inzicht op wat er op de devices staat en nog veel meer :9

dinsdag 14 januari 2014 13:54

Acties:
  • LordMatanza
  • Registratie: Oktober 2002
  • Laatst online: 07-04-2023

LordMatanza

Topicstarter
Even als advocaat van de duivel, wat denken de specialisten hier op het forum van een volgende opstelling:
  • 1x VOIP router (aangeleverd door ISP)
  • 1x Router/Firewall: pfSense installatie op deze hardware, met Snort IDS/IPS
  • 1x Managed L3 PoE switch 24P
  • 2x Linksys WRT54G AP met DD-WRT (dual SSID voor LAN en Guest)
Qua kosten scheelt dit natuurlijk enorm veel met Cisco hardware of hardware van andere producenten.
Daarbij komen er vaak nog licentie kosten bij...

dinsdag 14 januari 2014 16:33

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 23:54

DukeBox

loves wheat smoothies

LordMatanza schreef op zondag 05 januari 2014 @ 01:44:
Nu zijn mijn vragen als volgt:
• Wat denken jullie van deze opzet? Ziet dit er een beetje redelijk uit?
Opzich niets mis mee..
• Ik wil aparte VLAN's maken voor LAN, WLAN en VOIP. Zou dit nog verder opgesplitst moeten worden? Ik denk zelf dat dit niet nodig is, maar wellicht hebben jullie een goede reden om de servers in een apart VLAN te plaatsen?
Je zou kunnen subnetten.. appart vlan kan ook.. maar je gateway/firewall wordt dan wel een extra spof.
• Als ik deze 3 VLAN's aan zou houden heb ik volgens mij genoeg aan de ASA 5505 Base license en heb ik geen Security Plus license nodig?
Zoals eerder genoemd.. base is tot max 10 en een beperkte DMZ. Overigens wel prima te gebruiken voor guest WiFi access (uiteraard tellen die ook met de stadaard max 10 users). Upgrade naar 50 of unlimited is niet zo duur maar die én de sec.plus én ssl vpn license heb je al bijan een 5510 met sec+ en ssl vpn voor. Met als voordeel gigabit en mogelijkheid tot active/active standby.
• Het lijkt mij dat een L2 managed switch voldoende is voor deze opzet, of zou ik een L3 managed switch nodig hebben ivm eventuele trunks?
Opzich kom je weg met een L2 tenzij je vlan en subnetting (routering) wilt doen. De asa is geen router, alleen een firewall (!).

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 15 januari 2014 14:00

Acties:
  • LordMatanza
  • Registratie: Oktober 2002
  • Laatst online: 07-04-2023

LordMatanza

Topicstarter
Hierbij de (uitgebreide) setups waaruit ik waarschijnlijk zal kiezen...
De linker column is de huidige setup, daarnaast de (dure) Meraki oplossing en daarnaast de (goedkope) pfSense oplossing.
Onze keuze is hoogstwaarschijnlijk afhankelijk van de offerte waar Meraki mee komt... :|


      Current setup                     Meraki setup                      pfSense setup
                                        -expensive-                          -cheap-
                                     simple maintenance                 medium maintenance


==========================        ==========================        ==========================
| Modem/Router/Firewall  |        | DSL + VOIP Modem       |        | DSL + VOIP Modem       |
==========================        ==========================        ==========================
Linksys consumer grade            ISP provided                      ISP provided


                                  ==========================        ==========================
                                  | Meraki MX60            |        | Rack server - pfSense  |
                                  ==========================        ==========================
                                  L2TP VPN                          pfSense
                                  SNORT IDS/IPS                     DHCP
                                                                    DNS
                                                                    L2TP VPN / OpenVPN
                                                                    SNORT IDS/IPS


==========================        ==========================        ==========================
| 24P Unmanaged Switch   |        | Meraki MS220-24P       |        | 24P Managed PoE Switch |
==========================        ==========================        ==========================
All ports same LAN                Separate VLANs for:               Separate VLANs for:
                                   - Data                            - Data
                                   - Voice                           - Voice
                                   - Guest                           - Guest


==========================        ==========================        ==========================
| 2x WRT-54G AP - DD-WRT |        | 2x Meraki MR-12        |        | 2x WRT-54G AP - DD-WRT |
==========================        ==========================        ==========================
1x SSID to LAN                    1x SSID to VLAN Data              1x SSID to VLAN Data
                                  1x SSID to VLAN Guest             1x SSID to VLAN Guest

                                 
==========================        ==========================        ==========================
| Tower server           |        | Rack server - CentOS   |        | Rack server - CentOS   |
==========================        ==========================        ==========================
DHCP                              DHCP                              Samba
DNS                               DNS                               RSync Backup client
Samba                             Samba                             Squid HTTP proxy
RSync backup client               RSync Backup client
OpenVPN                           Squid HTTP proxy
Squid HTTP proxy
Corporate Webserver
Intranet Webserver
MySQL
PostgreSQL
SMTP
                                  ==========================        ==========================
                                  | Rack server - CentOS   |        | Rack server - CentOS   |
                                  ==========================        ==========================
                                  Asterisk VOIP server              Asterisk VOIP server
                         
                         
                                  ==========================        ==========================
                                  | Hosted VPS - CentOS    |        | Hosted VPS - CentOS    |
                                  ==========================        ==========================
                                  Corporate Webserver               Corporate Webserver
                                  Intranet Webserver                Intranet Webserver
                                  MySQL                             MySQL
                                  PostgreSQL                        PostgreSQL
                                  RSync Backup client               RSync Backup client
                                  SMTP                              SMTP

donderdag 16 januari 2014 10:56

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 26-11 16:03

Mikey!

Kleine aanvulling op het overzicht: De MX60 gebruikt L2TP over IPSec voor Client VPN en IPSec voor Site-to-Site, en de MS220-24P is een PoE switch :)

[ Voor 33% gewijzigd door Mikey! op 16-01-2014 10:59 ]

vrijdag 24 januari 2014 16:31

Acties:

Verwijderd

het is mij niet helemaal duidelijk hoe je de telefonieoplossing wilt doen.
Wil je een adsl + voip modem van je adsl provider daarvoor gebruiken? Dan heb je toch maar 2 telefoontoestellen met waarschijnlijk maar 1 telefoonnummer, een beetje zoals een alles in 1 abonnement voor thuisgebruik? Hoe vervangt dat een huidige ISDN centrale voor 5 werkplekken?

wat ga je precies met voip doen? wil je lagere belkosten (vooral internationaal is veel op te besparen), wil je onafhankelijk zijn van het aantal telefoniepoorten op je telefooncentrale, wil je buitenlandse nummer kunnen nemen?
Als je dat allemaal niet wilt dan is ISDN nog steeds erg betrouwbaar....
Overigens kun je, als toch al zoveel uitpandig zet, ook een voip oplossing uitpandig doen. Er zijn zat nederlandse voip providers waar je een hosted voip centrale kunt afnemen. Daar kun je vaak ook zaken instellen als de telefoon doorschakelen naar een mobiel nummer ingeval jullie internetverbinding eruit ligt, dat kan bij een KPN/Ziggo/etcetera waarschijnlijk niet.

Een eigen voip centrale in elkaar zetten kan ook, als je veel intern belt dan scheelt het bandbreedte op het internet maar voor jullie grootte zal dat waarschijnlijk niet zoveel uitmaken. Wel maakt het dan niet meer uit hoeveel telefoons je wilt aansluiten...

donderdag 6 februari 2014 08:21

Acties:
  • XoReP
  • Registratie: Oktober 2002
  • Laatst online: 23:20

XoReP

Misschien raar gedacht, maar volgens mij kun je bijna alles wat je wil doen ook op een Synology doen. Die zijn gebruiksvriendelijk om te beheren en op te zetten. Dingen zoals een proxyserver, L3 switch lijkt me ook een beetje overbodig in deze omgeving.

Tevens zou je er ook een tweede bij kunnen hal;en die je zonder veel moeite als backup/redunant kan inzetten.

[ Voor 18% gewijzigd door XoReP op 06-02-2014 08:23 ]

woensdag 19 februari 2014 22:29

Acties:
  • kaaas
  • Registratie: Oktober 2008
  • Laatst online: 28-11 09:04

kaaas

Pfsense met snort heeft al snel 2 gb geheugen nodig. Om een of andere reden doet appliance shop het niet bij mij, maar volgens mij is dat een pc engine met 500 mhz en 256 gb geheugen. Daar gaan snort I.C.M pfsense niet goed op werken. Squid kun je ook in pfsense draaien. En kijk dan ook naar dansguardian.
Zou een celeron pakken zoals mux beschrijft. mux' blog
Redelijk zuinig en krachtig zat.
Of koop er een met een atom van de appliance shop druk er 2 of 4 gb geheugen in en met een hd (opslag is handig voor squirt) of zet die er zelf in. Zou ze ff mailen hoeveel ram latjes er in kunnen.
Verder moedig ik de cheap versie aan, maar dat is omdat ik een opensource fan ben. Niet omdat het practisch is. Je hebt asterix staan voor voip heb je daar al mee gewerkt? Asterix springt er ook niet uit qua gebruiksvriendelijkheid. Wel gave software.
Als je nog goedkoper wilt gaan zou je alles in een virtual machine kunnen stoppen, maar ik denk dat de meeste specialisten het hier afraden om je firewall in een virtual machine te steken. Je bent dan wel met 1 pc klaar. Zet je nog een 2e ergens neer voor backups. En neem een cloud backup dienst af.

[ Voor 8% gewijzigd door kaaas op 21-02-2014 11:23 ]

woensdag 26 februari 2014 20:16

Acties:
  • ijdod
  • Registratie: April 2000
  • Laatst online: 30-11 08:39

ijdod

w4rguy schreef op dinsdag 07 januari 2014 @ 15:30:
[...]


De beperking is alleen geldig op het registreren van bestanden buiten de EU. Ieder bedrijf dat persoonsgegevens verwerkt (bijna elk bedrijf(!)) moet deze dusdanig beveiligen. Het is te gek voor woorden om er van uit te gaan dat endpoint security en een NAT-routertje daar voldoende in zijn.
Want? Ik speel nu even advocaat van de duivel... 'een NAT-routertje' kom je standaard niet binnen. Ik ben het helemaal met je eens dat het an sich geen volwaardige security oplossing is, maar je slaat 's mijns inziens een beetje door.

Root don't mean a thing, if you ain't got that ping...

vrijdag 28 februari 2014 14:37

Acties:
  • bigfoot1942
  • Registratie: Juni 2003
  • Niet online

bigfoot1942

en, wat is het geworden?
Qua niveau ontstijgt dit netwerk het thuisnetwerk van de gemiddelde tweaker niet.
Ik zie dan ook weinig upgrade, zowel in de 'cheap' als 'expensive' setup.

Gewoon omdat je niet hoeft te doen - waarom denk je bv met 5 clients een HTTP proxy nodig te hebben?
IMHO een onnodige 'luxe' welke alleen extra beheer (kosten) oplevert.

vrijdag 28 februari 2014 15:22

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 23:54

DukeBox

loves wheat smoothies

ijdod schreef op woensdag 26 februari 2014 @ 20:16:
Want? Ik speel nu even advocaat van de duivel... 'een NAT-routertje' kom je standaard niet binnen.
Zo 123 is dat niet helemaal juist... zeker tegenwoordig met windows 7 waar standaard ipv6 tunnels worden opgezet indien nodig kun je zo buiten nat om je netwerk binnenkomen (althans, direct met het endpoint connecten).

Dit is ook een issue dat veel organisaties onderschatten welke standaard deze funtionaliteit niet blokkeren.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 2 maart 2014 09:04

Acties:
  • ijdod
  • Registratie: April 2000
  • Laatst online: 30-11 08:39

ijdod

Ik stel niet dat 'alleen NAT' een valide, volwaardige beveiligingsstrategie is, ik reageerde vooral op de manier waarop dat gebracht werd. Daarbij is er nog de open deur intern: het grote boze internet kent iedereen, maar intussen komen de meeste incidenten uit eigen gelederen, door medewerkers die bv pissig zijn omdat ze geen promotie hebben gehad...

Ik heb teredo even niet heel scherp op mijn netvlies, ik heb zelf nog niet gezien dat dit out of the box werkt achter een simpele firewaall, maar dat wil uiteraard niet zeggen dat dit universeel is.

[ Voor 40% gewijzigd door ijdod op 02-03-2014 09:15 ]

Root don't mean a thing, if you ain't got that ping...

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq