|
| VPN boks Fra : Søren L. |
Dato : 27-11-01 10:22 |
|
Hej.
Vi står og skal have investeret i en VPN boks til firmaet, men er meget i
tvivl om hvilken. Jeg er så småt kommet frem til, at det ikke kan betale sig
at have en hardware boks ude ved hver klient, men er der nogen der ved mere
specifikt hvad en sådan "klient-boks" koster (hvis jeg nu kan overtale
firmaet/klienten)? Det ér jo lidt smartere i og med, at klienten så ikke
skal opsætte noget på sin PC samt at PC'en ikke skal belastes. Men anyway...
hvilken boks skal man investere i her i firmaet?
Endvidere aner jeg ikke om det er boksen der verificere brugeren eller
hvordan det rent praktisk fungere. Det kunne jo være rart om der var noget
WEB opsætning (det er lidt hurtigere at gå til end konsol-mode)?
Jeg regner med en 20-40 samtidige VPN forbindelser.
Hilsen Søren
| |
Gorm Jorgensen (27-11-2001)
| Kommentar Fra : Gorm Jorgensen |
Dato : 27-11-01 11:50 |
|
>
> Vi står og skal have investeret i en VPN boks til firmaet, men er meget i
> tvivl om hvilken. Jeg er så småt kommet frem til, at det ikke kan betale sig
> at have en hardware boks ude ved hver klient, men er der nogen der ved mere
> specifikt hvad en sådan "klient-boks" koster (hvis jeg nu kan overtale
> firmaet/klienten)? Det ér jo lidt smartere i og med, at klienten så ikke
> skal opsætte noget på sin PC samt at PC'en ikke skal belastes. Men anyway...
> hvilken boks skal man investere i her i firmaet?
>
Det kommer meget an på hvilken måde du har tænkt dig at bruge VPN
forbindelsen, er det til hjemmebrugere eller er det til sites som har en
internt LAN eller ??
Hvilken platform bruger du, og hvilken rescourcer skal bruges ?
Hvis det er til hjemmebrugere så er en software klient det billigste, du
skal dog vælge et produkt som supporterer IPsec gennem NAT men det gør de
fleste idag.
Jeg kan dog stærkt anbefale Nokia's VPN Serie - det er et kanon effektivt
produkt, og så er det samtidig til at betale.
http://www.nokia.com/vpn/gateways.html
--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--
| |
Søren L. (27-11-2001)
| Kommentar Fra : Søren L. |
Dato : 27-11-01 11:59 |
|
> > Vi står og skal have investeret i en VPN boks til firmaet, men er meget
i
> > tvivl om hvilken. Jeg er så småt kommet frem til, at det ikke kan betale
sig
> > at have en hardware boks ude ved hver klient, men er der nogen der ved
mere
> > specifikt hvad en sådan "klient-boks" koster (hvis jeg nu kan overtale
> > firmaet/klienten)? Det ér jo lidt smartere i og med, at klienten så ikke
> > skal opsætte noget på sin PC samt at PC'en ikke skal belastes. Men
anyway...
> > hvilken boks skal man investere i her i firmaet?
> Det kommer meget an på hvilken måde du har tænkt dig at bruge VPN
> forbindelsen, er det til hjemmebrugere eller er det til sites som har en
> internt LAN eller ??
Vi skal have lavet hjemmearbejdspladser her i firmaet, så der skal en boks
op i firmaet. Jeg regner så med at klienterne skal have noget software
installeret. Men det var jo så dét jeg skrev tidligere, at istedet for at
klienten installerede software, om man så ikke kunne få en boks som klienten
kunne benytte, da klienten dermed ikke skal tænke på opsætningen af VPN?
> Hvilken platform bruger du, og hvilken rescourcer skal bruges ?
Vi har Windows servere og skal nok have en Terminal Server op på et
tidspunkt men ellers er det p.t. email og filer og udskrivninger.
> Hvis det er til hjemmebrugere så er en software klient det billigste, du
> skal dog vælge et produkt som supporterer IPsec gennem NAT men det gør de
> fleste idag.
Okay.
> Jeg kan dog stærkt anbefale Nokia's VPN Serie - det er et kanon effektivt
> produkt, og så er det samtidig til at betale.
> http://www.nokia.com/vpn/gateways.html
Jeg vil kigge på den og se om det er noget vi kan bruge. Vil selvfølgelig
stadigt gerne høre andre meninger
Hilsen Søren
| |
Søren L. (27-11-2001)
| Kommentar Fra : Søren L. |
Dato : 27-11-01 15:21 |
|
> Jeg kan dog stærkt anbefale Nokia's VPN Serie - det er et kanon effektivt
> produkt, og så er det samtidig til at betale.
> http://www.nokia.com/vpn/gateways.html
Så har jeg kigget på det og det ser faktisk ret lovende ud. Har kig på enten
en CC500 eller en CC2500 - ved ikke lige endnu om vi skal være
fremtidssikret eller om vi skal tage dette som "the first try" og så
opgradere/udskifte om et år eller to. Men hvem er forhandler af Nokia i DK?
Ja, der er givetvis en masse små forhandlere men jeg vil hellere have det så
tæt på "kilden" som muligt (samt have en god service, da jeg har en del
spørgsmål).
Men hvad skal man vælge af kryptering? Jeg kan se at der både er 3DES og 56
bit(?) og der er givetvis flere?
Hilsen Søren
| |
Christian E. Lysel (27-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 27-11-01 22:46 |
|
Søren L. wrote:
>>Jeg kan dog stærkt anbefale Nokia's VPN Serie - det er et kanon effektivt
>>produkt, og så er det samtidig til at betale.
>> http://www.nokia.com/vpn/gateways.html
>>
>
> Så har jeg kigget på det og det ser faktisk ret lovende ud. Har kig
på enten
Hvad med den lille fra Cisco Concentrator 3000 serien?
> en CC500 eller en CC2500 - ved ikke lige endnu om vi skal være
> fremtidssikret eller om vi skal tage dette som "the first try" og så
> opgradere/udskifte om et år eller to. Men hvem er forhandler af Nokia
i DK?
http://www.nwt.dk/partnere.htm
> Men hvad skal man vælge af kryptering? Jeg kan se at der både er 3DES
og 56
> bit(?) og der er givetvis flere?
Den din sikkerhedspolitik kræver :) (3des er et godt valg)
| |
Søren L. (28-11-2001)
| Kommentar Fra : Søren L. |
Dato : 28-11-01 09:26 |
|
> Hvad med den lille fra Cisco Concentrator 3000 serien?
Den har jeg så også set på nu Jo, den ser også udemærket ud, men de
skriver godt nok ikke vildt meget om at 3000-serien kan sættes op via WEB?
Men jeg prøver at finde en forhandler til.. tror umiddelbart 3015
Concentrator vil være fint til vores behov.
> > en CC500 eller en CC2500 - ved ikke lige endnu om vi skal være
> > fremtidssikret eller om vi skal tage dette som "the first try" og så
> > opgradere/udskifte om et år eller to. Men hvem er forhandler af Nokia
> > i DK?
> http://www.nwt.dk/partnere.htm
Tak.
> > Men hvad skal man vælge af kryptering? Jeg kan se at der både er 3DES
> > og 56 bit(?) og der er givetvis flere?
> Den din sikkerhedspolitik kræver :) (3des er et godt valg)
Øhh.. min sikkerheds politik siger, at det skal være rimeligt sikkert
Ved desværre ikke vildt meget om forskellen på de forskellige
krypteringsmåder samt IPSec/PPTP og hvad fordelen/ulempen er. Men det er jo
så dét jeg så småt er ved at undersøge.
Hilsen Søren
| |
Christian E. Lysel (28-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 28-11-01 14:10 |
|
Søren L. wrote:
>>Hvad med den lille fra Cisco Concentrator 3000 serien?
>>
>
> Den har jeg så også set på nu Jo, den ser også udemærket ud, men de
> skriver godt nok ikke vildt meget om at 3000-serien kan sættes op via WEB?
> Men jeg prøver at finde en forhandler til.. tror umiddelbart 3015
> Concentrator vil være fint til vores behov.
Den har en fin web-grænseflade.
Vi har ingen problemer haft med denne løsning, det eneste der ikke
virker er Tokenring.
>> > en CC500 eller en CC2500 - ved ikke lige endnu om vi skal være
>> > fremtidssikret eller om vi skal tage dette som "the first try" og så
>> > opgradere/udskifte om et år eller to. Men hvem er forhandler af Nokia
>> http://www.nwt.dk/partnere.htm
> Tak.
En ting du skal være meget opmærksom på er om du kan logge på dit
NT-domain eller w2k-domain.
Mangle VPN løsninger tilbyder "kun" en VPN der transportere IP.
Du skal kikke efter en løsning der logger ind på VPN'en, før du logger
på domainet, eller som kan udfører dit domain-login bagefter.
>>Den din sikkerhedspolitik kræver :) (3des er et godt valg)
> Øhh.. min sikkerheds politik siger, at det skal være rimeligt sikkert
> Ved desværre ikke vildt meget om forskellen på de forskellige
> krypteringsmåder samt IPSec/PPTP og hvad fordelen/ulempen er. Men det er jo
> så dét jeg så småt er ved at undersøge.
PPTP kan ikke anbefaldes, det er en protokol udviklet af MS, og det er
gang på gang bevist den er usikker i sit design.
| |
Søren L. (28-11-2001)
| Kommentar Fra : Søren L. |
Dato : 28-11-01 14:31 |
|
> > Den har jeg så også set på nu Jo, den ser også udemærket ud, men de
> > skriver godt nok ikke vildt meget om at 3000-serien kan sættes op via
WEB?
> > Men jeg prøver at finde en forhandler til.. tror umiddelbart 3015
> > Concentrator vil være fint til vores behov.
> Den har en fin web-grænseflade.
> Vi har ingen problemer haft med denne løsning, det eneste der ikke
> virker er Tokenring.
Har I en 3015? Kan man opsætte at et specifikt IP nummer kun må have adgang
til X antal specificerede IP numre?
Vi benytter ikke Tokenring, så det skulle ikke blive et problem mht. dette.
> En ting du skal være meget opmærksom på er om du kan logge på dit
> NT-domain eller w2k-domain.
> Mangle VPN løsninger tilbyder "kun" en VPN der transportere IP.
Suger info til mig - tak
> Du skal kikke efter en løsning der logger ind på VPN'en, før du logger
> på domainet, eller som kan udfører dit domain-login bagefter.
Ja, umiddelbart lyder løsningen med at den skal logge på VPN'en først som en
god løsning. Det vil jeg kigge efter (og regner med at 3015 kan?).
> > Ved desværre ikke vildt meget om forskellen på de forskellige
> > krypteringsmåder samt IPSec/PPTP og hvad fordelen/ulempen er. Men det er
jo
> > så dét jeg så småt er ved at undersøge.
> PPTP kan ikke anbefaldes, det er en protokol udviklet af MS, og det er
> gang på gang bevist den er usikker i sit design.
Tjaa.. og det ér jo MS! Dvs. IPSec er nok dét man skal kigge nærmere på?
Hilsen Søren
| |
Asbjorn Hojmark (28-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 28-11-01 23:07 |
|
On Wed, 28 Nov 2001 14:31:15 +0100, "Søren L."
<unknown@nowehere.com> wrote:
> Har I en 3015? Kan man opsætte at et specifikt IP nummer kun må have adgang
> til X antal specificerede IP numre?
Ja.
-A
--
http://www.hojmark.org/
| |
Søren L. (29-11-2001)
| Kommentar Fra : Søren L. |
Dato : 29-11-01 16:04 |
|
> > Har I en 3015? Kan man opsætte at et specifikt IP nummer kun må have
adgang
> > til X antal specificerede IP numre?
> Ja.
Herligt.. egentligt lige et endnu mere relevant spørgsmål (da mange ikke har
fast IP).. kan den autorisere i VPN boksen først hvorefter den smider
forbindelsen videre til den aktuelle server (og så bliver den autoriseret
dér også)? Og kan man begrænse hvilke logins (til VPN boksen) der må se
hvilke servere?
Hilsen Søren
| |
Christian E. Lysel (29-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-11-01 17:01 |
|
Søren L. wrote:
> Herligt.. egentligt lige et endnu mere relevant spørgsmål (da mange ikke har
> fast IP).. kan den autorisere i VPN boksen først hvorefter den smider
> forbindelsen videre til den aktuelle server (og så bliver den autoriseret
> dér også)? Og kan man begrænse hvilke logins (til VPN boksen) der må se
VPN boksen, nej.
Men applikationen, ja.
> hvilke servere?
Ja, således at vpn grupper kan omfattes af filter regler.
> Hilsen Søren
>
>
>
| |
Søren L. (29-11-2001)
| Kommentar Fra : Søren L. |
Dato : 29-11-01 17:15 |
|
> > Herligt.. egentligt lige et endnu mere relevant spørgsmål (da mange ikke
har
> > fast IP).. kan den autorisere i VPN boksen først hvorefter den smider
> > forbindelsen videre til den aktuelle server (og så bliver den
autoriseret
> > dér også)? Og kan man begrænse hvilke logins (til VPN boksen) der må se
> VPN boksen, nej.
> Men applikationen, ja.
Ehhmm... sorry, men den forstod jeg ikke helt. Køre der en applikation
ovenpå VPN boksen eller tænker du på, at Windows domænet kan autorisere
brugeren eller .. ? Hvis du tænker på at det ér VPN boksen, ja så ved jeg
godt at det rent fysisk ikke er hardwaren der autorisere men den software
der ligger i boksen. Men ehh.. hva' mener du egentligt?
> > hvilke servere?
> Ja, således at vpn grupper kan omfattes af filter regler.
Øhh.. ja, hvis det kan opfylde mit behov så fint
>> Hilsen Søren
Igen igen.
| |
Christian E. Lysel (29-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-11-01 18:23 |
|
Søren L. wrote:
> Ehhmm... sorry, men den forstod jeg ikke helt. Køre der en applikation
> ovenpå VPN boksen eller tænker du på, at Windows domænet kan autorisere
> brugeren eller .. ? Hvis du tænker på at det ér VPN boksen, ja så ved jeg
> godt at det rent fysisk ikke er hardwaren der autorisere men den software
> der ligger i boksen. Men ehh.. hva' mener du egentligt?
Dit spørgsmål var: Kan du autorisere i VPN boksen først hvorefter den
smider forbindelsen videre til den aktuelle server og så bliver den
autoriseret der også.
Hvad er "den"? Jeg regnede "den" var 3015'eren. Og 3015 kan jo ikke
kontakte den aktuelle server og bliver valideret, det er applikations
opgave. (antager det en klient/server applikation, hvor trafikken mellem
klient og server skal beskyttes af VPN'en).
| |
Asbjorn Hojmark (29-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 29-11-01 23:33 |
|
On Thu, 29 Nov 2001 16:04:16 +0100, "Søren L."
<unknown@nowehere.com> wrote:
> Herligt.. egentligt lige et endnu mere relevant spørgsmål (da mange ikke
> har fast IP).. kan den autorisere i VPN boksen først hvorefter den smider
> forbindelsen videre til den aktuelle server (og så bliver den autoriseret
> dér også)?
Jeg er ikke helt sikker på, hvad du mener. Men man kan lave
validering på fx. Windows username og password, hvor valideringen
altså foregår op mod domænet. Var det det du spurgte efter?
> Og kan man begrænse hvilke logins (til VPN boksen) der må se hvilke
> servere?
Ja.
-A
--
http://www.hojmark.org/
| |
Christian E. Lysel (29-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-11-01 00:00 |
|
Søren L. wrote:
>>>Men jeg prøver at finde en forhandler til.. tror umiddelbart 3015
>>>Concentrator vil være fint til vores behov.
Hvis du kikker i mit from felt finde du minst én :)
> Har I en 3015? Kan man opsætte at et specifikt IP nummer kun må have adgang
> til X antal specificerede IP numre?
Se asbjørns svar.
> Ja, umiddelbart lyder løsningen med at den skal logge på VPN'en først som en
> god løsning. Det vil jeg kigge efter (og regner med at 3015 kan?).
(ja, endvidere findes klienten til mange operativ systemer, og virker
som en simpel firewall, 100 samtidige brugere).
> Tjaa.. og det ér jo MS! Dvs. IPSec er nok dét man skal kigge nærmere på?
Fordi det er IPSec er det ikke givet det er sikkert. Men en fornuftig
producent og opsætning plejer at hjælpe.
| |
Asbjorn Hojmark (29-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 29-11-01 23:44 |
|
On Wed, 28 Nov 2001 09:25:44 +0100, "Søren L."
<unknown@nowehere.com> wrote:
> Men jeg prøver at finde en forhandler til.. tror umiddelbart 3015
> Concentrator vil være fint til vores behov.
Jeg fik aldrig kommenteret, at 3015 nok er overkill, hvis du ikke
har mere end de 20-40 samtidige brugere, du har nævnt. En 3005
kan supportere op til 100 samtidige og max 4 Mbps.
Det eneste du egentlig får ekstra i en 3015 ift. en 3005 er, at
den kan hardware-opgraderes til en 3030 eller 3060 ved at sætte
SEP-moduler i.
En 3015 koster ca. 3 gange så meget som en 3005...
-A
--
http://www.hojmark.org/
| |
Lars Kim Lund (30-11-2001)
| Kommentar Fra : Lars Kim Lund |
Dato : 30-11-01 00:22 |
|
Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>
>En 3015 koster ca. 3 gange så meget som en 3005...
Ja, jeg falt af stolen da jeg så priserne, eller rettere forskellen.
Hvad skulle begrundelsen væer for at købe en 3015? Hvis man ikke har
behovet nu, så kan man få samme performance til 1/3 prisen med en
3006. Og hvis man forventer at få behov for ekstra performance senere,
så kunne jeg forestille mig det kunne betale sig at vente med
investeringen til behovet er der. At betale 2/3 merpris for at have
mulighed til at opgradere senere.
Jeg har lært at det hurtigt kan blive dyrt at købe kapacitet på
forskud. Man betaler penge for kapacitet man ikke har brug for, og når
man får brug for det, så vil man kunne få mere for pengene end da man
købte det på forskud.
Men tilbage til emnet, hvorr stor er springet egentlig videre til
3030?
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Asbjorn Hojmark (30-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 30-11-01 01:12 |
|
On Fri, 30 Nov 2001 00:22:24 +0100, Lars Kim Lund
<larskim@mail.com> wrote:
>> En 3015 koster ca. 3 gange så meget som en 3005...
> Ja, jeg falt af stolen da jeg så priserne, eller rettere forskellen.
> Hvad skulle begrundelsen væer for at købe en 3015?
Et ekstra ethernet-interface, mere RAM, mulighed for dual power,
og muligheden for at opgradere senere med SEP-moduler, hvis man
får behovet. Det er ubetinget det sidste man betaler for.
> Hvis man ikke har behovet nu, så kan man få samme performance til 1/3
> prisen med en [3005]. Og hvis man forventer at få behov for ekstra
> performance senere, så kunne jeg forestille mig det kunne betale sig
> at vente med investeringen til behovet er der.
Jeg er enig.
> Men tilbage til emnet, hvorr stor er springet egentlig videre til
> 3030?
Prisforskellen er knap 10 k$. En SEP koster svjh 12 k$.
-A
--
http://www.hojmark.org/
| |
Søren L. (30-11-2001)
| Kommentar Fra : Søren L. |
Dato : 30-11-01 10:42 |
|
> > Men jeg prøver at finde en forhandler til.. tror umiddelbart 3015
> > Concentrator vil være fint til vores behov.
> Jeg fik aldrig kommenteret, at 3015 nok er overkill, hvis du ikke
> har mere end de 20-40 samtidige brugere, du har nævnt. En 3005
> kan supportere op til 100 samtidige og max 4 Mbps.
Ja, det er selvfølgelig okay til vores behov her og nu.
> Det eneste du egentlig får ekstra i en 3015 ift. en 3005 er, at
> den kan hardware-opgraderes til en 3030 eller 3060 ved at sætte
> SEP-moduler i.
Det var een af de ting jeg så på - vil være led ved at sige til chefen at
"denne skal vi have" for så at opdage om et år at vi skal have en ny med
større kapacitet Men jeg aner slet ikke noget om prisen, så det er meget
muligt at en 3005 vil indgå i mine overvejelser.
> En 3015 koster ca. 3 gange så meget som en 3005...
Tjoo... kunne man jo forvente. Men er den eneste forskel at 3015 kan
opgraderes? Der er ikke flere standarder/feautures i 3015? En 3005 kan også
kobles sammen med de der PIX bokse (overvejer denne Cisco PIX boks fremfor
software)?
Hilsen Søren
| |
Asbjorn Hojmark (30-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 30-11-01 23:13 |
|
On Fri, 30 Nov 2001 10:42:07 +0100, "Søren L."
<unknown@nowehere.com> wrote:
>> En 3015 koster ca. 3 gange så meget som en 3005...
> Tjoo... kunne man jo forvente. Men er den eneste forskel at 3015
> kan opgraderes?
Det er som sagt ikke eneste forskel (se svaret til LKL), men det
er ubetinget den vigtigste. Men når man ser på prisen, bør man
vel også forholde sig til, at man kan købe mange 3005'ere for
prisen på én 3030.
> Der er ikke flere standarder/feautures i 3015?
Næ.
> En 3005 kan også kobles sammen med de der PIX bokse
Ja.
> (overvejer denne Cisco PIX boks fremfor software)?
Du vil gerne have en hardware-firewall til at beskytte det
interne net? Det lyder som en god idé.
PIX'en kan faktisk også selv køre VPN, men den er ikke særlig
fremragende til access-VPN pga. den måde det administreres på,
der er VPN3000 nemmere. Hvis man derimod har masser af LAN2LAN
får man faktisk mere for pengene med en PIX.
-A
--
http://www.hojmark.org/
| |
Kasper Dupont (28-11-2001)
| Kommentar Fra : Kasper Dupont |
Dato : 28-11-01 14:27 |
|
Christian E. Lysel wrote:
>
> Den din sikkerhedspolitik kræver :) (3des er et godt valg)
TrippleDES er forældet, man bør bruge AES i stedt for.
--
Kasper Dupont
| |
Søren L. (28-11-2001)
| Kommentar Fra : Søren L. |
Dato : 28-11-01 14:34 |
|
> > Den din sikkerhedspolitik kræver :) (3des er et godt valg)
> TrippleDES er forældet, man bør bruge AES i stedt for.
Jo, men er det nødvendigt og understøttes AES af de fleste? Umiddelbart har
jeg forsøgt at se om Cisco 3000 serien gør, men det ser det ikke ud til(?).
Hilsen Søren
| |
Kasper Dupont (28-11-2001)
| Kommentar Fra : Kasper Dupont |
Dato : 28-11-01 17:13 |
|
Søren L. wrote:
>
> > > Den din sikkerhedspolitik kræver :) (3des er et godt valg)
>
> > TrippleDES er forældet, man bør bruge AES i stedt for.
>
> Jo, men er det nødvendigt og understøttes AES af de fleste?
DES har kun 64 bits blokstørelse, dermed er der en reel
risiko for at man krypterer to ens blokke. Om det er et
problem afhænger af, hvilket sikkerhedsniveau du har
brug for. Det er kun ca. et år siden AES standarden blev
vedtaget, så der er sikkert manger, der endnu ikke
understøtter AES.
--
Kasper Dupont
| |
Michael Knudsen (28-11-2001)
| Kommentar Fra : Michael Knudsen |
Dato : 28-11-01 20:09 |
|
Hej Kasper og resten af gruppen
> brug for. Det er kun ca. et år siden AES standarden blev
> vedtaget, så der er sikkert manger, der endnu ikke
> understøtter AES.
Jeg har ofte tænkt over, hvor stor tilliden er til AES. NSA har jo som
bekendt været med i udvælgelsen af algoritmen, hvilket jo kan være både godt
og ondt. Jeg har ikke selv - til min store ærgelse - forstand på
kryptoanalyse mv., så jeg har ingen mulighed for selv at bedømme en
algoritme. Det, jeg reelt spekulerer på, er, om folk er af den opfattelse,
at NSA kan knække AES, og det delvist er derfor, Rijndael blev udpeget som
standard.
Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Andreas Plesner Jaco~ (28-11-2001)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 28-11-01 20:35 |
|
In article <3C053655.BE03F77E@but.auc.dk>, Michael Knudsen wrote:
>
>> brug for. Det er kun ca. et år siden AES standarden blev
>> vedtaget, så der er sikkert manger, der endnu ikke
>> understøtter AES.
>
> Jeg har ofte tænkt over, hvor stor tilliden er til AES. NSA har jo som
> bekendt været med i udvælgelsen af algoritmen, hvilket jo kan være både godt
> og ondt. Jeg har ikke selv - til min store ærgelse - forstand på
> kryptoanalyse mv., så jeg har ingen mulighed for selv at bedømme en
> algoritme. Det, jeg reelt spekulerer på, er, om folk er af den opfattelse,
> at NSA kan knække AES, og det delvist er derfor, Rijndael blev udpeget som
> standard.
Nu er der mange andre intelligente mennesker end lige NSA's folk der har
kigget på Rijndael
--
Andreas Plesner Jacobsen | You will forget that you ever knew me.
| |
Jesper Louis Anderse~ (28-11-2001)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 28-11-01 21:22 |
|
On Wed, 28 Nov 2001 19:34:31 +0000 (UTC),
Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
>> Jeg har ofte tænkt over, hvor stor tilliden er til AES. NSA har jo som
>> bekendt været med i udvælgelsen af algoritmen, hvilket jo kan være både godt
>> og ondt. Jeg har ikke selv - til min store ærgelse - forstand på
>> kryptoanalyse mv., så jeg har ingen mulighed for selv at bedømme en
>> algoritme. Det, jeg reelt spekulerer på, er, om folk er af den opfattelse,
>> at NSA kan knække AES, og det delvist er derfor, Rijndael blev udpeget som
>> standard.
>
> Nu er der mange andre intelligente mennesker end lige NSA's folk der har
> kigget på Rijndael
>
Ja, og vi skifter bare til Serpent eller MARS hvis det sker at der
findes et hul :)
--
Jesper
| |
Michael Knudsen (28-11-2001)
| Kommentar Fra : Michael Knudsen |
Dato : 28-11-01 21:23 |
|
Hej Andreas
> Nu er der mange andre intelligente mennesker end lige NSA's folk der har
> kigget på Rijndael
Det er jeg klar over. Mit spørgsmål lød på, hvordan den generelle tillid til
algoritmen var. Vil du dermed sige, at flertallet stoler på den?
Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Kasper Dupont (28-11-2001)
| Kommentar Fra : Kasper Dupont |
Dato : 28-11-01 21:56 |
|
Michael Knudsen wrote:
>
> Hej Kasper og resten af gruppen
>
> > brug for. Det er kun ca. et år siden AES standarden blev
> > vedtaget, så der er sikkert manger, der endnu ikke
> > understøtter AES.
>
> Jeg har ofte tænkt over, hvor stor tilliden er til AES. NSA har jo som
> bekendt været med i udvælgelsen af algoritmen, hvilket jo kan være både godt
> og ondt. Jeg har ikke selv - til min store ærgelse - forstand på
> kryptoanalyse mv., så jeg har ingen mulighed for selv at bedømme en
> algoritme. Det, jeg reelt spekulerer på, er, om folk er af den opfattelse,
> at NSA kan knække AES, og det delvist er derfor, Rijndael blev udpeget som
> standard.
Det samme har folk sagt om DES. Hele sikkerheden i DES
bygger på de såkaldte S-boxes, og de er så vidt jeg
erindrer designet af NSA.
Derimod har NSA ingen inflydelse haft på designet af
Rijndael. Algoritmen er lige som alle de andre kandidater
blevet reviewet af mange kloge mennesker, og ingen har
påpeget en svaghed.
--
Kasper Dupont
| |
Asbjorn Hojmark (28-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 28-11-01 23:10 |
|
On Wed, 28 Nov 2001 14:27:08 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:
> TrippleDES er forældet, man bør bruge AES i stedt for.
Snik-snak.
3DES er stadig fremragende og Sikker Nok(TM) til de fleste for-
mål. Problemet med AES er, at det ikke er særlig udbredt endnu,
så man vil have store problemer med at finde hardware, der kan
køre det med nogen rimelig performance. (At det kan køre i sw kan
man li'som ikke bruge til meget, hvis man skal have krypteret fx
45 Mbps).
-A
--
http://www.hojmark.org/
| |
Gorm Jorgensen (28-11-2001)
| Kommentar Fra : Gorm Jorgensen |
Dato : 28-11-01 09:19 |
|
> Så har jeg kigget på det og det ser faktisk ret lovende ud. Har kig på enten
> en CC500 eller en CC2500 - ved ikke lige endnu om vi skal være
> fremtidssikret eller om vi skal tage dette som "the first try" og så
> opgradere/udskifte om et år eller to. Men hvem er forhandler af Nokia i DK?
> Ja, der er givetvis en masse små forhandlere men jeg vil hellere have det så
> tæt på "kilden" som muligt (samt have en god service, da jeg har en del
> spørgsmål).
>
Du kan finde danske forhandlere / integratører på Network Technoligies
web http://www.nwt.dk/partnere.htm - Er selv hos Netsecure A/S
> Men hvad skal man vælge af kryptering? Jeg kan se at der både er 3DES og 56
> bit(?) og der er givetvis flere?
>
Du skal vælge hvad der står eller kommer til at står i jeres
sikkerhedspolitik. Det er en individuel vurdering og en af faktorerne kan
være hvor hemmelige data i bærer rundt på og om hvor meget info der er i en
datapakke - ved små pakker med meget info vil man vælge en stærk kryptering.
Og i den helt anden ende nær "nice" punktet kommer performance ind i
billede, jo stærkere kryptering jo langsommere bliver det. Altså kræves mere
processor kraft og mere båndbredde.
--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--
| |
Søren L. (28-11-2001)
| Kommentar Fra : Søren L. |
Dato : 28-11-01 09:43 |
|
> > .... Men hvem er forhandler af Nokia i DK?
> > Ja, der er givetvis en masse små forhandlere men jeg vil hellere have
det så
> > tæt på "kilden" som muligt (samt have en god service, da jeg har en del
> > spørgsmål).
> Du kan finde danske forhandlere / integratører på Network Technoligies
> web http://www.nwt.dk/partnere.htm - Er selv hos Netsecure A/S
Takker - er blevet anbefalet siden
> > Men hvad skal man vælge af kryptering? Jeg kan se at der både er 3DES og
56
> > bit(?) og der er givetvis flere?
> Du skal vælge hvad der står eller kommer til at står i jeres
> sikkerhedspolitik. Det er en individuel vurdering og en af faktorerne kan
> være hvor hemmelige data i bærer rundt på og om hvor meget info der er i
en
> datapakke - ved små pakker med meget info vil man vælge en stærk
kryptering.
Hmm.. jamen, det er jo mig der skal finde ud af hvad vi skal (hvilket jo
sikkert kan lyde skræmmende) Hehee... men jeg ved ikke nok om hvilke
løsninger der findes, samt lige præcist hvad vores behov er (hvor krypteret
det skal være), så jeg tror at jeg vil tage kontakt til een eller anden VPN
forhandler. Måske skulle man bare sige, at "vi vælger Cisco" (alle kender
Cisco og de er vel kendte for at lave nogle gode netværks enheder) og så
tage kontakt til en Cisco forhandler (som ved noget om VPN). Spørgsmålet er
jo så bare om man får et bedre produkt med Nokia, så det er jo med at vælge
rigtigt til at starte med
> Og i den helt anden ende nær "nice" punktet kommer performance ind i
> billede, jo stærkere kryptering jo langsommere bliver det. Altså kræves
mere
> processor kraft og mere båndbredde.
Jo, det lyder jo egentligt meget rimeligt.
Hilsen Søren
| |
Asbjorn Hojmark (27-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 27-11-01 23:50 |
|
On Tue, 27 Nov 2001 10:21:42 +0100, "Søren L."
<unknown@nowehere.com> wrote:
> Vi står og skal have investeret i en VPN boks til firmaet, men
> er meget i tvivl om hvilken.
Se bla. på Ciscos VPN3000-serie. De er gode, og de behøver ikke
være alt for afskyeligt dyre. De konfigureres via web, og man kan
bruge hardware- eller software-klienter som man lyster, samt man
kan lave LAN2LAN VPN-forbindelser etc.
> Jeg er så småt kommet frem til, at det ikke kan betale sig at
> have en hardware boks ude ved hver klient, men er der nogen der
> ved mere specifikt hvad en sådan "klient-boks" koster
Hvad mener du med, at det ikke kan betale sig? Snakker du om kr
og øre? Næ, man kan få en PIX 501 billigere end en VPN 3002, og
hvis man vælger PIX-løsningen får man en hardware-firewall med i
købet.
Der kan dog også være fordele ved at bruge en software-klient,
fx. at man kan bruge token-cards (som fx. RSAs SecurID).
Priserne kan du få af din foretrukne netværkspusher.
> Jeg regner med en 20-40 samtidige VPN forbindelser.
20-40 samtidige er faktisk en del, hvis folk er bare rimeligt
aktive på deres VPN-forbindelse, når de er på. Hvor meget bånd-
bredde og hvilken forbindelse regner du med til formålet (altså i
server-enden)?
-A
--
http://www.hojmark.org/
| |
Søren L. (28-11-2001)
| Kommentar Fra : Søren L. |
Dato : 28-11-01 09:32 |
|
> > Vi står og skal have investeret i en VPN boks til firmaet, men
> > er meget i tvivl om hvilken.
> Se bla. på Ciscos VPN3000-serie. De er gode, og de behøver ikke
> være alt for afskyeligt dyre. De konfigureres via web, og man kan
> bruge hardware- eller software-klienter som man lyster, samt man
> kan lave LAN2LAN VPN-forbindelser etc.
Lan2Lan - jo, men er det ikke dét VPN er? Altså at den sender alt IP til
hjemmearbejdspladsen således, at man oplever at man sidder på arbejdet (i
hvert fald mht. fil-shares, printers m.v.).
> > Jeg er så småt kommet frem til, at det ikke kan betale sig at
> > have en hardware boks ude ved hver klient, men er der nogen der
> > ved mere specifikt hvad en sådan "klient-boks" koster
> Hvad mener du med, at det ikke kan betale sig? Snakker du om kr
> og øre? Næ, man kan få en PIX 501 billigere end en VPN 3002, og
> hvis man vælger PIX-løsningen får man en hardware-firewall med i
> købet.
Ja, jeg snakker penge. En boks er dejlig men skal heller ikke koster
ubegrænset. Jeg regner med at hvis man kan få en boks til ca. kr. 2000, at
det så bestemt kunne være et godt alternativ til software.
PIX501 - kender den slet ikke, så jeg vil lige kigge på det.
> Der kan dog også være fordele ved at bruge en software-klient,
> fx. at man kan bruge token-cards (som fx. RSAs SecurID).
Ja, det er klart - alt efter hvad det skal bruges til
> > Jeg regner med en 20-40 samtidige VPN forbindelser.
> 20-40 samtidige er faktisk en del, hvis folk er bare rimeligt
> aktive på deres VPN-forbindelse, når de er på. Hvor meget bånd-
> bredde og hvilken forbindelse regner du med til formålet (altså i
> server-enden)?
Vi har et alm. antenne-net (kabelnet) med 1024/512Kbit. Det er da muligt, at
det skal opgraderes men det må vi lige se på til dén tid (ved jo ikke
præcist hvor meget det vil belaste).
Hilsen Søren.
| |
Asbjorn Hojmark (28-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 28-11-01 23:14 |
|
On Wed, 28 Nov 2001 09:32:10 +0100, "Søren L."
<unknown@nowehere.com> wrote:
> Lan2Lan - jo, men er det ikke dét VPN er?
VPN er mange ting.
LAN2LAN (eller site-to-site) er det at bruge et par boxe til at
forbinde to netværk i modsætning til en klient med et netværk
(Access-VPN).
>> 20-40 samtidige er faktisk en del [...] Hvor meget båndbredde og
>> hvilken forbindelse regner du med til formålet (altså i server-
>> enden)?
> Vi har et alm. antenne-net (kabelnet) med 1024/512Kbit. Det er da
> muligt, at det skal opgraderes men det må vi lige se på til dén tid
20-40 samtidige på 512 Kbps (up) vil føles som en katastrofe. Det
er 12 Kbps til hver, og det er ned mod 1/3 af et gammeldags
modems hastighed.
Jeg vil håbe, du tager fejl med, hvor mange der faktisk er aktive
samtidigt, eller at de har et forbrugsmønster der gør at de stort
set ikke bruger forbindelsen.
-A
--
http://www.hojmark.org/
| |
Christian E. Lysel (29-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-11-01 00:06 |
|
Asbjorn Hojmark wrote:
>>Lan2Lan - jo, men er det ikke dét VPN er?
> VPN er mange ting.
>
> LAN2LAN (eller site-to-site) er det at bruge et par boxe til at
> forbinde to netværk i modsætning til en klient med et netværk
> (Access-VPN).
Men er det ikke "bare" marketings-gas? Hvad med WAN2WAN VPN. :)
Jeg kan ikke se forskellen. Men hvis nu forskelligen lå i om trafikken
bliver routet eller bridget, kan jeg godt se en forskel.
| |
Asbjorn Hojmark (29-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 29-11-01 01:14 |
|
On Thu, 29 Nov 2001 00:05:36 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:
>> LAN2LAN (eller site-to-site) er det at bruge et par boxe til at
>> forbinde to netværk i modsætning til en klient med et netværk
>> (Access-VPN).
> Men er det ikke "bare" marketings-gas?
Næ, vi der arbejder med det kan godt se forskel på at terminere
trafik fra en række (mange) enkeltadresser og så at terminere
trafik fra hele net.
Der er ret markant forskel på opgaven for udstyret:
(1) "Nå, der kommer trafik fra a.b.c.d/w til e.f.g.h/x; det har
jeg stående her, at det skal krypteres og sendes til adresse
q.w.e.r krypteret med DES i tunnel mode og med følgende IKE-
parametre (...). Og der er noget trafik fra i.j.k.l/y til
m.n.o.p/z; det skal sendes til t.y.u.i med 3DES i transport
mode og følgende IKE-parametre (...)"
(2) "Nå, der kommer noget trafik; det skal sendes krypteret til
q.w.e.r".
Der er da typisk også ganske stor forskel på, hvor mange forbin-
delser af de forskellige typer, som en given hardware supporte-
rer.
Jeg troede, du selv arbejder med det?
> Hvad med WAN2WAN VPN.
Hmm. Der er i hvert fald VPNs som implementeret i MPLS, der igen
er noget helt tredje. Det kan være LAN2LAN, TLS (Transparent LAN
Service) eller for den sags skyld WAN2WAN, selvom jeg nu ikke har
set den sidste betegnelse brugt.
-A
--
http://www.hojmark.org/
| |
Christian E. Lysel (29-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-11-01 18:30 |
|
Asbjorn Hojmark wrote:
>>>LAN2LAN (eller site-to-site) er det at bruge et par boxe til at
>>>forbinde to netværk i modsætning til en klient med et netværk
>>>(Access-VPN).
>>Men er det ikke "bare" marketings-gas?
> Næ, vi der arbejder med det kan godt se forskel på at terminere
Kan du ikke forholde dig til det du selv mener?
> trafik fra en række (mange) enkeltadresser og så at terminere
> trafik fra hele net.
Er det ikke grundet dårligt design af produkter?
Snakker vi preformance, selvfølgelig er der forskel på at have mange VPN
sessioner eller at have få. Men om det er mange site-to-site eller mange
mobile brugere, kan jeg ikke se forskellen på.
Hvor i IPSec ligger forskellen, hvis vi ser bort fra brugervalideringen?
> Der er ret markant forskel på opgaven for udstyret:
>
> (1) "Nå, der kommer trafik fra a.b.c.d/w til e.f.g.h/x; det har
> jeg stående her, at det skal krypteres og sendes til adresse
> q.w.e.r krypteret med DES i tunnel mode og med følgende IKE-
> parametre (...). Og der er noget trafik fra i.j.k.l/y til
> m.n.o.p/z; det skal sendes til t.y.u.i med 3DES i transport
> mode og følgende IKE-parametre (...)"
>
> (2) "Nå, der kommer noget trafik; det skal sendes krypteret til
> q.w.e.r".
Forskellen er subnet'ets størrelse.
q.w.e.r vil jeg skrive som q.w.e.r/32 og hermed kan jeg ikke nogen
forskel. Selvfølgelig kan der være forskel på VPN politiken,
Nogle produkter har dog som gamle FireWall-1's, oprettet forbindelser
mellem logiske subnet, hvor det i virkeligheden var peer-to-peer
forbindelser.
> Der er da typisk også ganske stor forskel på, hvor mange forbin-
> delser af de forskellige typer, som en given hardware supporte-
> rer.
>
> Jeg troede, du selv arbejder med det?
Yep.
> Service) eller for den sags skyld WAN2WAN, selvom jeg nu ikke har
> set den sidste betegnelse brugt.
Det har jeg heller ikke.
| |
Asbjorn Hojmark (29-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 29-11-01 23:50 |
|
On Thu, 29 Nov 2001 18:29:58 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:
>> Næ, vi der arbejder med det kan godt se forskel på at terminere
> Kan du ikke forholde dig til det du selv mener?
Jeg mener, det er det jeg gør.
> Er det ikke grundet dårligt design af produkter?
Næ, jeg kan godt se de tekniske forskelle, der gør at det er
nemmere for boxen at vedligeholde user sessions (Access VPN) end
LAN2LAN sessions.
> Snakker vi preformance, selvfølgelig er der forskel på at have mange VPN
> sessioner eller at have få. Men om det er mange site-to-site eller mange
> mobile brugere, kan jeg ikke se forskellen på.
Der *er* forskel. En VPN3030 supporterer fx. 1500 samtidige user
sessions, men 'kun' 500 LAN2LAN sessions.
-A
--
http://www.hojmark.org/
| |
Christian E. Lysel (29-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-11-01 23:55 |
|
Asbjorn Hojmark wrote:
> Der *er* forskel. En VPN3030 supporterer fx. 1500 samtidige user
> sessions, men 'kun' 500 LAN2LAN sessions.
'kun' ;)
Er dette en begrænsning grundet tekniske resourcer, eller grundet
marketing/prissætning?
Eller er det fordi man antager et LAN vil generere mere trafik end en
bruger session.
| |
Asbjorn Hojmark (30-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 30-11-01 01:22 |
|
On Thu, 29 Nov 2001 23:55:13 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:
>> Der *er* forskel. En VPN3030 supporterer fx. 1500 samtidige user
>> sessions, men 'kun' 500 LAN2LAN sessions.
> 'kun' ;)
Ja, det er sgu nogle seriøse boxe.
Det er dog værd at bemærke, at det er max T3-hastighed (45 Mbps),
så jeg ville ikke bruge den til 500 LAN2LAN sessions, med mindre
det er nogle ret små (eller trafik-lette) LAN.
> Er dette en begrænsning grundet tekniske resourcer, eller grundet
> marketing/prissætning?
Det er, hvad de har testet den til og kan supportere, så det er
teknisk begrundet. Der er simpelthen mere arbejde i det for boxen
at vedligeholde LAN2LAN sessions.
> Eller er det fordi man antager et LAN vil generere mere trafik end
> en bruger session.
Det tror jeg ikke, for som jeg ser det sætter de 45 Mbps begræns-
ningen før de 500 LAN. Men jeg kender ikke detaljerne i deres
test-setup, så jeg skal ikke kunne sige det med bestemthed.
Iøvrigt: Hvis det er massevis af LAN2LAN-trafik man har, så ville
jeg slet ikke bruge en VPN3000 til det. Jeg ville nok lave noget
med en 7200 med VAM plus certifikater og den slags. Det er ufedt
at vedligeholde den slags med et web-interface.
-A
--
http://www.hojmark.org/
| |
|
|