/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Token-baseret VPN (Cisco PIX 515E)
Fra : Thø


Dato : 14-09-07 19:54

Jeg har en Cisco PIX 515E - og vil gerne have nogle brugere til at logge
ind på VPN til den - med et hardware-token...

Jeg kan fint få VPN til at virke (Dog kun 3DES - bedre kryptering kræver
en extra licens, hvilket jeg naturligvis vil købe når jeg tror på at det
vil virke)

Jeg har så fået et par RSA-SerurID tokens, for at opnå en 2-faktor
godkendelse af brugere - Og det har jeg egentligt også næsten fået til
at virke... (Med RSA's radius-server) MEN kun når jeg slår kryptering
på VPN fra i PIX'en. RSA's guide siger, at man bare skal installere
deres VPN-software på klienten - Men jeg vil meget gerne have en løsning
der fungere med Windows VPN-klienten...

Så nu vil jeg lige hører om der er andre gode token-løsninger, der
fungere med Windows egen VPN-klient og Ciscos PIX, om Windows klient og
PIX fungere fint (i.e. jeg er dum), eller om jeg bare skal bide i det
sure æble og installere/supportere en 3-parts VPN-klient...

Alle klienter kører Windows XP/Vista, firewallen er en købt Cisco PIX
515E - Hvem der levere tokens er ikke vigtigt, bare de er "almindeligt
anderkendte" (Hvilket RSA i stor grad er såvidt jeg kan se, stort firma
få og meget gamle/teoretiske angreb) - Men en alternativ token-producent
kan nemt komme på tale, en anden firewall vil kræve gode argumenter, et
andet klient-OS er udelukket :(

Men alle der bruger et token-baseret VPN må meget gerne kommentere -
Hvad bruger I? Hvad er godt, og hvad et skidt?

 
 
Asbjorn Hojmark (15-09-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 15-09-07 07:20

On Fri, 14 Sep 2007 20:54:06 +0200, Thø <jt@thoestesen.invalid> wrote:

> Men alle der bruger et token-baseret VPN må meget gerne kommentere -
> Hvad bruger I? Hvad er godt, og hvad et skidt?

Vi bruger Cisco i koncentrator-enden, Ciscos VPN-klient og RSA tokens.
Det virker fint.

-A
(Der arbejder i Conscia, hvor vi også sælger den slags, så upartisk
kan jeg nok ikke siges at være).
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Thø (18-09-2007)
Kommentar
Fra : Thø


Dato : 18-09-07 19:19

Asbjorn Hojmark skrev:

> Vi bruger Cisco i koncentrator-enden, Ciscos VPN-klient og RSA tokens.
> Det virker fint.

Ok - det lader til at jeg må lære Ciscos VPN-klient at kende... (RSA's
guide bruger også den fremfor Windows' egen - Jeg håbede... Men hvis du
mener Ciscos VPN-klient er løsningen, har du sikkert ret (Det plejer du
da at have...))

> (Der arbejder i Conscia, hvor vi også sælger den slags, så upartisk
> kan jeg nok ikke siges at være).

Hvis I gider have en kunde med ca. 10 brugere med tokens, må du meget
gerne sende mig kontakt-info på en sælger med lidt teknisk indsigt (TLD
i min mail-adresse er .dk)

- Vi har haft kontakt med en anden dansk leverandør, men de var ikke så
voldsomt intereseret i at sælge til en så lille kunde...

--
Thø

Arne Keller (15-09-2007)
Kommentar
Fra : Arne Keller


Dato : 15-09-07 07:49

Thø wrote:
> Jeg har en Cisco PIX 515E - og vil gerne have nogle brugere til at logge
> ind på VPN til den - med et hardware-token...
>
snip
>
> Men alle der bruger et token-baseret VPN må meget gerne kommentere -
> Hvad bruger I? Hvad er godt, og hvad et skidt?

Et firma jeg kender har anvendt hardware tokens gennem mange år,
desværre viste det sig at brugerne ofte kortsluttede systemet.

Det var helt normalt at token blev sat fast på power kablet eller på PC
tasken, jeg har personligt arbejdet på flere PC er hvor token sad på
power kablet og passwordet stod skrevet på bagsiden af token !

Når token og PC opbevares sammen tilfører det efter min mening ingen
sikkerhed.

Idag anvender man i stedet en restriktiv password politik.

--
Arne Keller
Jeg udtaler mig på Usenet bare om min egen personlige mening.
www.kabling.dk | www.net-faq.dk | www.ssrr.se

Thomas S. Iversen (15-09-2007)
Kommentar
Fra : Thomas S. Iversen


Dato : 15-09-07 07:56

> Idag anvender man i stedet en restriktiv password politik.

Hvorfor ikke anvende begge dele og fyre og gøre det til fyringsgrund
at have gule sedler med passwords på?

Thomas
--
"I've often driven past a house where (apparently) a fellow geek
lives. They own a Mini, which sports a large (British-style) front
license plate bearing the legend: GZIP -9 SUV."

Thø (18-09-2007)
Kommentar
Fra : Thø


Dato : 18-09-07 20:29

Arne Keller skrev:
> Et firma jeg kender har anvendt hardware tokens gennem mange år,
> desværre viste det sig at brugerne ofte kortsluttede systemet.
>
> Det var helt normalt at token blev sat fast på power kablet eller på PC
> tasken, jeg har personligt arbejdet på flere PC er hvor token sad på
> power kablet og passwordet stod skrevet på bagsiden af token !
>
> Når token og PC opbevares sammen tilfører det efter min mening ingen
> sikkerhed.

Brugere er et svagt led i mange sikkerhedssystemer

- Men jeg kan ikke helt se at et token på powerkablet er lig 0 ekstra
sikkerhed... Det kræver fysisk adgang maskinen at udnytte det - gemte
passwords og certifikater kræver bare fil-adgang til maskinen, det kan
man få selvom man er 1000-km fra maskinen...

Når det er sagt har du selvfølgeligt ret i at hvis et token opbevares
sammen med PC giver det en meget forringet sikkerhed - Men jeg er ganske
sikker på, at jeg kan sige til mine brugere at deres token skal være på
deres nøglering i deres lomme - Og så er den der!
Jeg er da en så slem BOFH, at de ved at vpn-adgang er et privilegie, og
ikke selvfølgelighed...



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste