---

Hej.

Vi står overfor at skulle lave nogle ændringer i vores netværk.

Lige nu kobler vi op til en Win2000 terminalserver via en ISDN linie. Men
da der er ADSL linie i begge ender, vil vi gerne spare udgifterne til denne
ISDN linie.

Men, det lader åbentbart til at være noget af en sag at gøre sådan noget.

Hvis jeg selv skulle lave det, ville jeg installere en SSH2 server på
Win2000 terminalserveren, og så benytte f.eks. Vandykes SecureCRT og
portforwarding, til at lave en krypteret tunnel. Det er jo kun den ene port
og trafikken på denne vi er interesseret i.

Det skal siges at der foran Win2000 terminalserveren står en Raptor
firewall. Men det er vel bare et spørgsmål om at åbne en enkelt port ind
til Win2000 terminalserveren, så SSH2 kan komme ind til den. Og det behøves
jo ikke at være standard porten 22 der bliver brugt. Man kan vel vælge
hvilken man vil.

Alternativet som vi er blevet foreslået er en SonicWall Tele3 i vores ende
og så vidt jeg kan se noget konfiguration i den anden ende. Raptor firewall
understøtter vist VPN.

Mit spørgsmål er nu om der er nogle store sikkerhedsproblemer i den måde
jeg selv ville gøre det på. Den er meget billigere at implementere end VPN
løsningen. Men hvis den er håbløs sikkerhedsmæssigt, er det selvfølgelig
ikke så smart.

Mvh. René

---

Rene <nospam@tele.dk> wrote:
> Mit spørgsmål er nu om der er nogle store sikkerhedsproblemer i den måde
> jeg selv ville gøre det på. Den er meget billigere at implementere end VPN
> løsningen. Men hvis den er håbløs sikkerhedsmæssigt, er det selvfølgelig
> ikke så smart.

Du har udeladt for mange detailer til at vi paa nogen rimelig maade kan
tage stilling til hvilken der er sikrest. Du skriver f.eks. ikke hvilken
form for bruger eller forbindelsesvalidering der vil finde sted. SSH med
kodeord er betydeligt svagere end et VPN med certifikater, men hvis du
benytter en anden opsaetning ryger min sammenligning ud af vinduet.

SSH tunnler er dog meget ad hoc og jeg synes for det meste de er for
komplicerede til introducere i produktionsbrug, isaer hvis brugeren ikke
har evnerne til at troubleshoot en forbindelse der ikke virker.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Rene wrote:

> Lige nu kobler vi op til en Win2000 terminalserver via en ISDN linie. Men
> da der er ADSL linie i begge ender, vil vi gerne spare udgifterne til denne
> ISDN linie.


Dvs. I bruger ikke Internet, men ISDN fra klient til server?


> Men, det lader åbentbart til at være noget af en sag at gøre sådan noget.
>
> Hvis jeg selv skulle lave det, ville jeg installere en SSH2 server på
> Win2000 terminalserveren, og så benytte f.eks. Vandykes SecureCRT og
> portforwarding, til at lave en krypteret tunnel. Det er jo kun den ene port
> og trafikken på denne vi er interesseret i.


stunnel kan også bruges, se stunnel.org


> Det skal siges at der foran Win2000 terminalserveren står en Raptor
> firewall. Men det er vel bare et spørgsmål om at åbne en enkelt port ind
> til Win2000 terminalserveren, så SSH2 kan komme ind til den. Og det behøves
> jo ikke at være standard porten 22 der bliver brugt. Man kan vel vælge
> hvilken man vil.


Ja.


> Alternativet som vi er blevet foreslået er en SonicWall Tele3 i vores ende
> og så vidt jeg kan se noget konfiguration i den anden ende. Raptor firewall
> understøtter vist VPN.


Har i en licens til VPN

En sonicwall i jeres ende, er det ikke den samme ende Jeres raptor står i?

Hvilket noget konfiguration i den anden ende?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
news:3C862736.9090901@example.net:

> Rene wrote:
>
>> Lige nu kobler vi op til en Win2000 terminalserver via en ISDN linie.
>> Men da der er ADSL linie i begge ender, vil vi gerne spare udgifterne
>> til denne ISDN linie.
>
> Dvs. I bruger ikke Internet, men ISDN fra klient til server?

Korrekt. Lige nu bruger vi ISDN direkte fra vores klienter til serveren, og
der anvendes ingen kryptering på denne linie. Det er kun vores
telefonnummer der kan ringe op til systemet som det er nu.

>> Hvis jeg selv skulle lave det, ville jeg installere en SSH2 server på
>> Win2000 terminalserveren, og så benytte f.eks. Vandykes SecureCRT og
>> portforwarding, til at lave en krypteret tunnel. Det er jo kun den
>> ene port og trafikken på denne vi er interesseret i.
>
> stunnel kan også bruges, se stunnel.org

Ok.

>> Alternativet som vi er blevet foreslået er en SonicWall Tele3 i vores
>> ende og så vidt jeg kan se noget konfiguration i den anden ende.
>> Raptor firewall understøtter vist VPN.
>
> En sonicwall i jeres ende, er det ikke den samme ende Jeres raptor
> står i?

Nej. Raptor står i vores hovedafdeling, og sonicwall skulle så installeres
her.

> Hvilket noget konfiguration i den anden ende?

Konfiguration af Raptor for at kunne lave VPN forbindelsen.

Siden jeg skrev denne mail, er der dog blevet fundet en anden løsning. Der
bliver installeret en Nortel Contivity 600 VPN switch i vores
hovedafdeling, og så bliver der installeret en klient på hver maskine der
skal kobles på her.

Jeg er lidt spændt på at se performance i forhold til det vi har nu

Mvh. René

---

Rene wrote:

>>Dvs. I bruger ikke Internet, men ISDN fra klient til server?
> Korrekt. Lige nu bruger vi ISDN direkte fra vores klienter til serveren, og
> der anvendes ingen kryptering på denne linie. Det er kun vores
> telefonnummer der kan ringe op til systemet som det er nu.


Hvis det ikke er en lukket brugergruppe er det ikke meget værd, specielt
hvis de benyttet også bruges andre steder.

> Nej. Raptor står i vores hovedafdeling, og sonicwall skulle så installeres
> her.


Du må evt. uddybe setup'et noget mere.

> Siden jeg skrev denne mail, er der dog blevet fundet en anden løsning. Der
> bliver installeret en Nortel Contivity 600 VPN switch i vores
> hovedafdeling, og så bliver der installeret en klient på hver maskine der
> skal kobles på her.


Hvad har i stående i Jeres af firewall i dag?


> Jeg er lidt spændt på at se performance i forhold til det vi har nu


Det bliver en klar forbedring :)