---

Hvis man i en virksomhed har et kablet LAN hvorpå de ansatte har adgang til
virksomhedens server, hvordan er tilgangen så til disse servere, hvis
løsningen udbygges med et WLAN.
Altså hvis personalet går på WLAN og skal accesse serveren på det kablede
net. Kan det lade sig gøre? - hvilken hardware skal bruges? - kan man
regulere det vha en firewall og hvis det er tilfældet, hvordan sikrer man så
at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Mange spørgsmål, men er der nogen der har tid/lyst til at hjælpe?

/A

---

antidote wrote:
> Hvis man i en virksomhed har et kablet LAN hvorpå de ansatte har adgang til
> virksomhedens server, hvordan er tilgangen så til disse servere, hvis
> løsningen udbygges med et WLAN.

Mener du trådløst netværk? I så fald sætter man et access point op, som
sidder på det kablet netværk.

> Altså hvis personalet går på WLAN og skal accesse serveren på det kablede
> net. Kan det lade sig gøre? - hvilken hardware skal bruges?

Et access point.

> - kan man
> regulere det vha en firewall

Ja, du sætter en firewall imellem dit access point og dit lokale
netværk. Det er dog ikke nødvendigt, medmindre du skal have lavet nogle
mere advanceret afgrænsninger.

> og hvis det er tilfældet, hvordan sikrer man så
> at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
> WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Her kan man sætte det trådløse netværk op med VLANs (Virtuelle LANs). Så
får hvert VLAN på det trådløse netværk hver sin SSID (navnet på det
trådløse netværk). Så logger dine klienter på det ene VLAN og de
eksterne konsulenter på det andet VLAN. VLANene skal så konfigureres til
kun at give adgang

> Mange spørgsmål, men er der nogen der har tid/lyst til at hjælpe?

Jeg kan desværre ikke komme med en detajleret beskrivelse, men jeg har
set det virke.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

---

"Anders Lund" <anders@andersonline.dk> skrev i en meddelelse
news:42695b1f$0$67255$157c6196@dreader2.cybercity.dk...
>
> Jeg kan desværre ikke komme med en detajleret beskrivelse, men jeg har set
> det virke.

Jeg takker for dine svar, hvis andre har kommentarer er de velkomne til at
tilføje dem.

Men endnu engang tak!
/A

---

antidote wrote:

> hvordan sikrer man
> så at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
> WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Hvorfor skal 'ikke ansatte' have adgang til WLAN'et, når de ikke skal have
adgang til serverne?

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
> Hvorfor skal 'ikke ansatte' have adgang til WLAN'et, når de ikke skal have
> adgang til serverne?

Måske skal de have adgang til Internettet.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

---

Stig Johansen wrote:
> antidote wrote:
>
>> hvordan sikrer man
>> så at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang
>> til WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?
>
> Hvorfor skal 'ikke ansatte' have adgang til WLAN'et, når de ikke skal
> have adgang til serverne?
måske for at have forbindelse til deres egen server hjemme / internet mm.
--
Calle.

---

antidote wrote:
> Hvis man i en virksomhed har et kablet LAN hvorpå de ansatte har adgang til
> virksomhedens server, hvordan er tilgangen så til disse servere, hvis
> løsningen udbygges med et WLAN.
> Altså hvis personalet går på WLAN og skal accesse serveren på det kablede
> net. Kan det lade sig gøre? - hvilken hardware skal bruges? - kan man
> regulere det vha en firewall og hvis det er tilfældet, hvordan sikrer man så
> at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
> WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Både wired og wireless netværk har protokoller til validering og
adgangskontrol. Blandt andet IPsec og IEEE 802.1x kan benyttes i begge
tilfælde, afhængigt af behov.

Du skal naturligvis have tilstrækkeligt med trådløse access points til
at dække hele bygningen med signal. Om disse access points så er koblet
til internettet eller til det interne net, er op til jer. Hvis de blot
kobles på internettet, skal konsulenter og ansatte benytte VPN teknologi
til at komme ind på virksomhedens netværk.

Man kan køre et ret administrationsfrit trådløst miljø ved at filtre på
udgående forbindelser, og kun tillade de protokoller, porte og
destinations IP addresser som virksomheden og dens on-site partnere
benytter. Det fjerner effektivt risikoen for misbrug uden at kræve store
omkostninger til brugeradministration. Det betyder så, at man ikke
umiddelbart kan lukke adgangen for en evt. klumpet konsulent uden at
fjerne adgangen for hans 4 kollegaer fra samme konsulentvirksomhed også.

Hvis der alligevel er tilstrækkeligt mange forskellige partnere til at
der næsten dagligt skal ændres i reglerne, kan man lige så godt give
hver bruger et brugernavn og adgangskode.

Man kan ikke umiddelbart benytte en firewall til at forhindre at en PC
forbindes til det wired og wireless net på samme tid. Normalt er det en
politik man ønsker at sætte op i VPN klienten, men den slags kontrol har
man ofte ikke over de maskiner der har brug for at koble sig op via
trådløst net. Måske uddannelse er nok: sig til de pågældende, at de ikke
må koble udstyr på det wired net, sålænge deres trådløse netkort er
aktivt. De fleste bærbare har en knap der slår det trådløse net fra.

Alternativt kan du benytte førnævnte valideringsprotokoller således at
man simpelhen ikke kan komme på hhv. det wired og wireless net uden en
konto - og kun give én slags konto til hver medarbejder.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:426b5ed5$0$166$edfadb0f@dtext02.news.tele.dk...
> Alternativt kan du benytte førnævnte valideringsprotokoller således at man
> simpelhen ikke kan komme på hhv. det wired og wireless net uden en konto -
> og kun give én slags konto til hver medarbejder.

Jeg takker og bukker for det uddybende og præcise svar - lige noget jeg kan
bruge. Der var en anden der spurgte om hvorfor ikke ansatte skulle have
adgang til WLAN'et og det er netop for at de skal kunne benytte Internettet.
Bare lige for at få det på plads.

Jeg har selv været inde og læse nærmere om 802.1X og synes det ligner en
løsning, der kan være brugbar i dette tilfælde, så det vil jeg gå videre
med.

/A

---

antidote wrote:

> Der var en anden der spurgte om hvorfor ikke ansatte skulle
> have adgang til WLAN'et og det er netop for at de skal kunne benytte
> Internettet. Bare lige for at få det på plads.

Netop.
Årsagen til jeg spurgte var, at jeg var lidt i tvivl om du mente at
konsulenterne slet ikke skulle have adgang, eller kun skulle have adgang
til internettet.

Nu kender jeg ikke infrastrukturen i jeres virksomhed, men nå jeg besøger
kunder, foregår det oftest i afgrænsede områder, typisk mødelokaler.

Man kunne overveje at dække mødelokale(r) med separat WLAN, koblet på DMZ,
hvor konsulenter o lign. kan koble sig på.

--
Med venlig hilsen
Stig Johansen