Ekstern (VPN?) adgang til servere for medarbejdere og konsulenter - hvad gør man

Hej Ole

Rent teoretisk og teknisk er Cisco løsningen den mest sikre, det er der ingen tvivl om.

Men PPTP løsningen er en gennemprøvet VPN teknologi som har været brugt i over 12 år uden der har været nogle rapporterede sikkerhedsproblemer med Micosofts løsning.

Jeg bruger selv SSH idag fordi mine servere primært kører linux og SSH er teoretisk mere sikker og praktisk mellem unix/linux servere, men som VPN løsning er den ikke lige så god fordi det er ikke alt trafik som kommer i gennem tunnelen med mindre man selv angiver portene, så jeg overvejer at bruge PPTP til nogle af mine ting og så kun ssh mellem serverne.

SSH har været udsat for sikkerhedsproblemer, som du sikkert er bekendt med er det en open source teknologi som anses som meget sikker, men den har altså været udsat for problemer.

Sådan set ud fra bådet et praktisk, økonomisk og driftmæssigt syn så er der ikke noget som slår PPTP, det er en nem, hurtig og robust teknologi.

Cisco løsningen som er baseret på IPSEC er dyr og ikke helt problemfri, men burde kunne laves på en dags tid.

RRAS kan også lave IPSEC tunneler og vist også SSL tuneler så det kunne man måske kigge på som alternativ.

Hvis det er til erhverv så lad være med at sats på noget som ikke er gennemprøvet, det er rimeligt surt at stå med noget som ikke virker ordentligt eller er ustabilt og det er det som tæller i den sidste ende sikkerhed eller ej så bliver du bedømt på om tingene virker.....gør det ikke det så kan du godt glemme om alle mulige søforklaringer om at du har valgt den teoretisk sikreste løsning.

Kim Gregersen:

At hænge valget op på "det her er mere sikkert end det andet" er i mine øjne noget bavl - hvis man kører VPN og har et sikkert kodeord - dvs. IKKE 1234 - så er alle løsninger sikre!

FORDELEN ved at lave en eller anden form for PPTP vpn, RRAS eller Hardwarebaseret er, at du SELV kan administrere adgangen til netværket. Sætter du en Ciscobox op, så skal du betale konsulenttimer hver gang en ny bruger skal på eller af!

Kim

Jeg er enig med Kim i at det er noget bavl at mene at feks. cisco er mere sikkert, men en som virkelig spiller klog (sjældent dem som kan finde ud af at lave løsningerne selv) kan sikkert komme med nogle gode argumenter for eller imod en af teknologierne.

Men som systemadministrator syntes jeg man skal forholde sig til den praktiske virkelighed og vælge den teknologi som man selv kan overskue at administrere og hvis man så selv kan sætte skidtet op, så er man altså noget bedre stillet hvis boksen står af en dag og du skal sætte en ny VPN service op.

Prøv at forestille dig at sige til 100 brugere at de ikke kan bruge VPN løsningen fordi du venter på en tekniker fordi du ikke selv kan finde ud af at sætte en ny op.

Mit råd er at sætte den nemme løsning op, finde nogle gode kodeord og så sætte det i drift. Dokumenter skidtet så du ved hvordan det er sat op hvis det går ned endda med røg ud af serveren ;-)

Så kan du jo altid købe en CISCO fætter og sidde og lege med den bagefter, du vil sikkert finde ud af den ikke er så svær at sætte op men den kræver man sætter sig lidt mere ind i IPSEC teknologien. Når du føler dig tryg ved den nye løsning så kan du stille og roligt flytte brugerne over i dit tempo.

Sådan ville jeg gøre det.

Hej Peter og Kim 

Nu skal jeg slet ikke advokerer for at en Cisco boks er den bedste løsning men den mest pragmatiske i forhold til hvad trådstarter oplyser, men i vil rådgive trådstarter til selv at opsætte sin egen VPN adgang baseret på software fordi at det er nemt at opsætte, nemt at vedligeholde, nemt at konfigurere og sikkerheden er i top hvis man har nogle gode passwords?

Nu kan det jo være at trådstarter har en masse erfaring med alle de begreber der er kommet ind i den her tråd, men jeg vil stadigvæk argumentere for at en hardwarebaseret løsning kan være den bedste, nemmeste og billigste og kan trådstarter selv opsætte sin software VPN så kan han vel også selv logge på en boks og tilføje en bruger hvilket i dag er ganske enkelt via et brugervenligt interface i det fleste tilfælde og så slipper han jo for konsulent timerne til dette arbejde - det kan endda være mere enkelt end at opsætte en software baseret VPN eller har jeg misforstået noget?

Vi er nok selv lidt mere avanceret end de fleste da vores VPN brugere kommer fra en RADIUS server til vores Cisco bokse så vi ikke behøver at logge ind på boksene når der er tale om ændringer på VPN adgangen.

Jeg vil gætte at en løsning baseret på en Cisco boks kan opsættes og leveres færdig konfigureret til under 5000 og at trådstarter selv kan lære at oprette eller slette en VPN brugere (for en Zyxel kan det være lavere) - eller hvad mener i - sådan på det helt pragmatiske plan?

@Kim

Hvorfor kræver det en konsulent at tilføje eller slette en bruger på en Cisco boks?

@Peter jeg bliver lidt forvirret:

Peter Nilsson:

Rent teoretisk og teknisk er Cisco løsningen den mest sikre, det er der ingen tvivl om

og

Peter Nilsson:

Jeg er enig med Kim i at det er noget bavl at mene at feks. cisco er mere sikkert, men en som virkelig spiller klog (sjældent dem som kan finde ud af at lave løsningerne selv) kan sikkert komme med nogle gode argumenter for eller imod en af teknologierne.

Hej fra Søren

Kim Gregersen:

FORDELEN ved at lave en eller anden form for PPTP vpn, RRAS eller Hardwarebaseret er, at du SELV kan administrere adgangen til netværket. Sætter du en Ciscobox op, så skal du betale konsulenttimer hver gang en ny bruger skal på eller af!

Sludder!

En ordenligt opsat VPN boks kan sagtens gøre brug af et AD og så er det spørgsmålet om at bruge grupper og remote access i ADet.

Dette ved jeg fordi jeg selv har sat et par ASA5510 bokse op til at gøre dette med en SSL VPN.

---

Ellers vil jeg nok mene PPTP kan sagtens bruges. Bare husk at opdatere windows når der er patches.
En anden ting I skal huske på med bruger vpn er at have opdateret anti-virus kørende. Både på klienterne og serverne.
For PPTP på Windows giver så vidt jeg husker (korrigere mig endelig hvis jeg tager fejl) fuld adgang til det netværk men forbinder til.
Derfor skal man være sikker på der ikke kommer ting ind den vej. 

Det er rigtig nok at PPTP løsningen er gennemprøvet, men som det nævnes så er det altså ikke en sikker VPN løsning. PPTP er i sig selv ikke krypteret. Hvis du vælger at bruge PPTP, så brug EAP som kryptering.

IPSEC er klart mere sikker (læs bl.a. sammenligninger her http://www.windowsecurity.com/articles/vpn-options.html) og fungerer bare. Hvis du bruger Cisco ASA boks eller Junipers SSG modeller, så er du dækket rigtig godt ind.

De PPTP VPN'er jeg har arbejdet på har desuden haft den svaghed, at når jeg var på VPN'en så kunne jeg ikke surfe lokalt - dvs. min printer, scanner osv fungerede ikke når jeg var på VPN. Det er fordi det er den indbyggede PPTP løsning i Windows der gør det. Det er muligt man kan få klienter, der ikke gør det, men jeg synes det er et problem.

he he så kom alle de kloge hoveder.

PPTP har ikke været genstand for sikkerhedsproblemer endnu det er fakta.

Ja det er rigtigt at man skal have antivirus osv som var det interne maskiner når de er koblet op via vpn, det gælder både PPTP og IPSEC/CISCO løsningen.

Man kan overveje at lave et ip-scope i et VLAN kun til VPN klienterne, det vil inddæmme skaderne hvis der skulle komme nogen ind den vej.

Der er nok her i tråden til man burde træffe et valg om det skal være den nemme PPTP eller den mere sikre IPSEC teknologi man vil vælge....nå jeg vil ikke sige mere her.

jjn:

De PPTP VPN'er jeg har arbejdet på har desuden haft den svaghed, at når jeg var på VPN'en så kunne jeg ikke surfe lokalt - dvs. min printer, scanner osv fungerede ikke når jeg var på VPN. Det er fordi det er den indbyggede PPTP løsning i Windows der gør det. Det er muligt man kan få klienter, der ikke gør det, men jeg synes det er et problem.

Det er der også andre klienter der gør.
Det er hvad administrator mener der er det mest sikre. (Og at sikre at alt trafik går igennem en centralt sted hvor man kan kontrollere det er mere sikkert end du kan tilgå noget udenom vpn'en som inficere din maskine og derefter de andre maskiner der kan nåes via vpn forbindelsen.)
Men det er sandsynligvis til at konfigurere. (Jeg gjorde det bla. på de førnævnte ASA5510'er)