---

Jeg havde egentlig planlagt at sætte en lille switch ind mellem vores
router (Cisco1600) som er forbundet til Internettet og vores firewall
(Pix506) som er forbundet til vores intranet.
Via denne switch ville jeg så afprøve vpn-forbindelser igennem Pix'en, men
så kom jeg til at tænke på at den pc som bliver sat til switchen jo ikke
er beskyttet af Pix'en mod Internettet så lang tid den står tændt, hvilket
formentlig aldrig vil være mere end et par timer ad gangen, men uanset
hvad så synes jeg ikke det er nogen god ide!
Man kunne selvfølgelig sætte et filter op i routeren så den ignorerer
traffik til/fra den IP-adresse som den pc der er sat i switchen har, er
det ikke en udemærket ide?
Hvis man forudsætter at der *aldrig* vil være koblet en tændt pc på
switchen i mere end 5-10 timer ad gangen, er så der nogen der synes at
dette setup er en dårlig ide, rent sikkerhedsmæssigt?
Man kunne også sagtens forestille sig at løsningen med switchen kunne
bruges til at lave en grundig sikkerhedsafprøvning af Pix'en og dens
opsætning!
Jeg er klar over at en pc der kobles til den omtalte switch, bør behandles
specielt, men hvis den sidder bag et filter der blokerer al trafik gennem
routeren til pc'en behøves den vel egentlig ikke behandles specielt, gør
den?
Hvis man forudsætter at der ikke er sikkerhedshuller i routeren og at
filteret er sat ordentligt op er der vel egentlig ikke noget at frygte!?

/Jens Ulrik

---

Jens U. K. <1jk2@3bsopatent4.dk> wrote:
> Jeg havde egentlig planlagt at sætte en lille switch ind mellem vores
> router (Cisco1600) som er forbundet til Internettet og vores firewall
> (Pix506) som er forbundet til vores intranet.
[..]
> Man kunne selvfølgelig sætte et filter op i routeren så den ignorerer
> traffik til/fra den IP-adresse som den pc der er sat i switchen har, er
> det ikke en udemærket ide?

Hvis det loeser formaalet med testen virker det som en acceptabel ide,
men jeg ville nok ogsaa forhindre PC'en i at skabe forbindelser ud
gennem routeren, saaledes der ikke ved "et uheld" bliver installeret
sjovt software paa en test maskine der har VPN adgang til jeres
netvaerk.

> Jeg er klar over at en pc der kobles til den omtalte switch, bør behandles
> specielt, men hvis den sidder bag et filter der blokerer al trafik gennem
> routeren til pc'en behøves den vel egentlig ikke behandles specielt, gør
> den?

Mit eneste rigtige forslag er at forklare situationen (fordele ved test
versus risiko og hvordan der er taget hoejde for ditto) til ledelsen, og
lad dem tage en beslutning om hvordan den skal behandles.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrna5vg3f.h9h.a@C-Tower.Area51.DK...
> Jens U. K. <1jk2@3bsopatent4.dk> wrote:
> > Jeg havde egentlig planlagt at sætte en lille switch ind mellem vores
> > router (Cisco1600) som er forbundet til Internettet og vores firewall
> > (Pix506) som er forbundet til vores intranet.
> [..]
> > Man kunne selvfølgelig sætte et filter op i routeren så den ignorerer
> > traffik til/fra den IP-adresse som den pc der er sat i switchen har,
er
> > det ikke en udemærket ide?
>
> Hvis det loeser formaalet med testen virker det som en acceptabel ide,
> men jeg ville nok ogsaa forhindre PC'en i at skabe forbindelser ud
> gennem routeren,...

Selvfølgelig! Det var også det jeg mente med at routeren skulle ignorere
trafik til/fra PC'en.

> ...saaledes der ikke ved "et uheld" bliver installeret
> sjovt software paa en test maskine der har VPN adgang til jeres
> netvaerk.

Tænker du på andet end et filter i routeren, som der selvfølgelig skal
være der?

> > Jeg er klar over at en pc der kobles til den omtalte switch, bør
behandles
> > specielt, men hvis den sidder bag et filter der blokerer al trafik
gennem
> > routeren til pc'en behøves den vel egentlig ikke behandles specielt,
gør
> > den?
>
> Mit eneste rigtige forslag er at forklare situationen (fordele ved test
> versus risiko og hvordan der er taget hoejde for ditto) til ledelsen, og
> lad dem tage en beslutning om hvordan den skal behandles.

Tak for input!

/Jens Ulrik

---

"Jens U. K." wrote:
>
> Via denne switch ville jeg så afprøve vpn-forbindelser igennem Pix'en, men
> så kom jeg til at tænke på at den pc som bliver sat til switchen jo ikke
> er beskyttet af Pix'en mod Internettet så lang tid den står tændt, hvilket
> formentlig aldrig vil være mere end et par timer ad gangen, men uanset
> hvad så synes jeg ikke det er nogen god ide!

Jeg går ud fra, at du afprøver vpn forbindelser fordi du på et
tidspunkt rent faktisk vil bruge vpn forbindelser over internettet.
Hvordan vil det endelige setup se ud? I det endelige setup bør du
naturligvis have et sikkert system for begge ender af vpn forbindelsen.

> Man kunne selvfølgelig sætte et filter op i routeren så den ignorerer
> traffik til/fra den IP-adresse som den pc der er sat i switchen har, er
> det ikke en udemærket ide?

Jo, det er en udmærket idé til at sikre dig imod nogle af dine egne
fejltagelser mens du sætter systemet op. Men I sidste ende skulle
du gerne have et system, hvor du uden risiko kan fjerne dette filter
igen. Jeg vil foreslå, at filteret både filtrerer på IP og MAC
addresse. Det vil nok være det sikreste, hvis routeren giver dig den
mulighed.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3C5FECDA.A39A644C@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > Via denne switch ville jeg så afprøve vpn-forbindelser igennem Pix'en,
men
> > så kom jeg til at tænke på at den pc som bliver sat til switchen jo
ikke
> > er beskyttet af Pix'en mod Internettet så lang tid den står tændt,
hvilket
> > formentlig aldrig vil være mere end et par timer ad gangen, men uanset
> > hvad så synes jeg ikke det er nogen god ide!
>
> Jeg går ud fra, at du afprøver vpn forbindelser fordi du på et
> tidspunkt rent faktisk vil bruge vpn forbindelser over internettet.

Ja

> Hvordan vil det endelige setup se ud?

Pix506 afvikler VPN ind i intranettet via en radiusserver til aaa.
Klienten vil typisk være Cisco's vpn softwareklient installeret på en
"hjemme-PC". Hjemme-PC'en vil typisk være koblet til Internettet via en
ADSL-forbindelse. Der vil blive sat et filter op i denne forbindelses
router, som lukker for inadgående traffik. Denne hjemme-PC vil først blive
checket for evt. *ubehagelige* programmer. Den vil have et
antivirus-system (McAfee) installeret som kører med automatisk opdatering.
Den vil blive opdateret med nye securitypatches når disse kommer
(foreløbig manuelt).
Der skal helst installeres en form for content-scanner/personal firewall
(har prøvet FinJan's produkt: SurfSafe...etellerandet, jeg kan dog ikke
rigtig li' det), således at et evt. *ubehageligt* program ikke vil nå at
lave skade via VPN-forbindelsen... det største problem er imho at der
*relativt* let kan komme *snavs* ind på en sådan hjemme-PC, og derfra og
videre via VPN-forbindelsen er jo ikke så langt!

> I det endelige setup bør du
> naturligvis have et sikkert system for begge ender af vpn forbindelsen.

Se ovenfor...

> > Man kunne selvfølgelig sætte et filter op i routeren så den ignorerer
> > traffik til/fra den IP-adresse som den pc der er sat i switchen har,
er
> > det ikke en udemærket ide?
>
> Jo, det er en udmærket idé til at sikre dig imod nogle af dine egne
> fejltagelser mens du sætter systemet op. Men I sidste ende skulle
> du gerne have et system, hvor du uden risiko kan fjerne dette filter
> igen. Jeg vil foreslå, at filteret både filtrerer på IP og MAC
> addresse.

Ok, det vil jeg prøve.

> Det vil nok være det sikreste, hvis routeren giver dig den
> mulighed.

Det er en Cisco1600 router, kan den?

/Jens Ulrik

---

"Jens U. K." wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3C5FECDA.A39A644C@daimi.au.dk...
>
> > Hvordan vil det endelige setup se ud?
>
> Pix506 afvikler VPN ind i intranettet via en radiusserver til aaa.
> Klienten vil typisk være Cisco's vpn softwareklient installeret på en
> "hjemme-PC". Hjemme-PC'en vil typisk være koblet til Internettet via en
> ADSL-forbindelse. Der vil blive sat et filter op i denne forbindelses
> router, som lukker for inadgående traffik.

Jeg har ikke noget grundlag for at udtale mig om det konkrete produkt,
men det lyder i hovedtræk fornuftigt. Din testmaskine bør i så høj
grad som muligt se ud på samme måde.

> Denne hjemme-PC vil først blive
> checket for evt. *ubehagelige* programmer. Den vil have et
> antivirus-system (McAfee) installeret som kører med automatisk opdatering.
> Den vil blive opdateret med nye securitypatches når disse kommer
> (foreløbig manuelt).

Det lyder også fornuftigt. Automatisk opdatering af software kan være
en sikkerhedsrisiko. Den optimale løsning vil nok være, at virksomheden
vurderer opdateringerne, og at klienterne først derefter opdateres. En
automatisk opdatering af klienterne over VPN forbindelsen fra en
server bagved virksomhedens firewall vil så være det næste skridt. Denne
server skal naturligvis sikres efter alle kunstens regler.

> Der skal helst installeres en form for content-scanner/personal firewall
> (har prøvet FinJan's produkt: SurfSafe...etellerandet, jeg kan dog ikke
> rigtig li' det),

Klienterne skal nok have en eller anden form for firewall. Man kan vælge
mellem en software og en hardware løsning. Hvis en trojan er kommet ind
bagved firewallen vil den have nemmere ved at åbne en forbindelse ud
igennem en software firewall end en hardware firewall. Om det overhovedet
spiller en rolle er så et andet spørgsmål, den kan muligvis allerede gøre
så meget skade, at man er ligeglad med den udgående forbindelse. En
software firewall kan i en hvis udstrækning filtrere kommunikation på
basis af hvilket program der foretager kommunikationen. Men i nogle
firewalls vil programmer kunne omgå denne beskyttelse. En software
firewall vil sandsynligvis være nemmere at opdatere end en hardware
firewall.

Det næste spørgsmål er, hvor meget der skal lukkes for. Man kan vælge at
lukke for alt kommunikation over ADSL forbindelsen på nær VPN pakkkerne.
Hvis man så sætter klientens default gateway til VPN boksen i den anden
ende kan man med den rigtige opsætning tvinge kommunikationen mellem
klienten og resten af internettet igennem hardware firewallen.

> således at et evt. *ubehageligt* program ikke vil nå at
> lave skade via VPN-forbindelsen... det største problem er imho at der
> *relativt* let kan komme *snavs* ind på en sådan hjemme-PC, og derfra og
> videre via VPN-forbindelsen er jo ikke så langt!
>
> > I det endelige setup bør du
> > naturligvis have et sikkert system for begge ender af vpn forbindelsen.
>
> Se ovenfor...

Vi er vist enige om, hvor den største risiko ligger.

> > Jeg vil foreslå, at filteret både filtrerer på IP og MAC
> > addresse.
>
> Ok, det vil jeg prøve.
>
> > Det vil nok være det sikreste, hvis routeren giver dig den
> > mulighed.
>
> Det er en Cisco1600 router, kan den?

Jeg ved det ikke.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3C5FFCA3.8498BF87@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> > news:3C5FECDA.A39A644C@daimi.au.dk...
> >
> [...]
> Den optimale løsning vil nok være, at virksomheden
> vurderer opdateringerne, og at klienterne først derefter opdateres. En
> automatisk opdatering af klienterne over VPN forbindelsen fra en
> server bagved virksomhedens firewall vil så være det næste skridt.

Enig, det ville være smart.

> Denne
> server skal naturligvis sikres efter alle kunstens regler.

Hvorfor det?

> [...] Hvis en trojan er kommet ind
> bagved firewallen vil den have nemmere ved at åbne en forbindelse ud
> igennem en software firewall end en hardware firewall.

Jeg tror ikke jeg er helt enig... Hvordan vil du sætte den hardware
firewall op? Så den kun er åben for VPN-traffik? Hvis den kun er åben for
VPN-traffik er der imho ikke særlig stor sandsynlighed for at der kan
komme *snavs* på til at starte med. En software-firewall/content-scanner
vil nok have en bedre chance for at fange en trojan. Selvfølgelig er der
en mulighed for at en trojan kan omgå en software-firewall og det er noget
rigtig skidt... men omvendt tror jeg at det er meget svært at sætte en
hardwarefirewall op til at kunne lukke af for en trojan, da en sådan jo
kan kommunikere næsten ligesom et hvilket som helst andet program på en
PC...

> [...]
> En
> software firewall kan i en hvis udstrækning filtrere kommunikation på
> basis af hvilket program der foretager kommunikationen. Men i nogle
> firewalls vil programmer kunne omgå denne beskyttelse. En software
> firewall vil sandsynligvis være nemmere at opdatere end en hardware
> firewall.

Ja, det er jo lige det.

> Det næste spørgsmål er, hvor meget der skal lukkes for.

Og det siger firmaets sikkerhedspolitik forhåbentlig/selvfølgelig
direkte/inddirekte (men det er bare ikke altid lige let at sætte op

> Man kan vælge at
> lukke for alt kommunikation over ADSL forbindelsen på nær VPN pakkkerne.
> Hvis man så sætter klientens default gateway til VPN boksen i den anden
> ende kan man med den rigtige opsætning tvinge kommunikationen mellem
> klienten og resten af internettet igennem hardware firewallen.

Tilføj en begrænsning af trafikken over ADSL til kun at kunne nå
VPN-boksens IP-addresse, og lige netop dette setup er det som jeg vil
betragte som det sikreste til en VPN-forbindelse. Forudsat at der ikke
laves nogen fejl i setup'et, så er maskinen så tæt på at være fysisk
placeret internt i firmaet som det kan lade sig gøre! Men der kommer bare
et ubehageligt overhead når der hjemme-PC'en skal på Internettet.

[...
]> > > Jeg vil foreslå, at filteret både filtrerer på IP og MAC
> > > addresse.
> >
> > Ok, det vil jeg prøve.
> >
> > > Det vil nok være det sikreste, hvis routeren giver dig den
> > > mulighed.
> >
> > Det er en Cisco1600 router, kan den?
>
> Jeg ved det ikke.

Æv, så må jeg jo selv finde ud af det...

/Jens Ulrik

---

Jens U. K. wrote:

> Jeg tror ikke jeg er helt enig... Hvordan vil du sætte den hardware
> firewall op? Så den kun er åben for VPN-traffik? Hvis den kun er åben for
> VPN-traffik er der imho ikke særlig stor sandsynlighed for at der kan
> komme *snavs* på til at starte med. En software-firewall/content-scanner
> vil nok have en bedre chance for at fange en trojan. Selvfølgelig er der
> en mulighed for at en trojan kan omgå en software-firewall og det er noget
> rigtig skidt... men omvendt tror jeg at det er meget svært at sætte en
> hardwarefirewall op til at kunne lukke af for en trojan, da en sådan jo
> kan kommunikere næsten ligesom et hvilket som helst andet program på en
> PC...


En troj kan sætte en software firewall ud af drift, ved at deinstallere
denne! Det kan den ikke med en hardware firewall.

> placeret internt i firmaet som det kan lade sig gøre! Men der kommer bare
> et ubehageligt overhead når der hjemme-PC'en skal på Internettet.

På den anden side kan man nemt investere 100.000-200.000 på den centrale
firewall. Hvis man investere så mange penge, må det være fordi man
ønsker at sikre værdier for firmaet, ellers er man dum :)

Hvis man efterfølgende investere penge på at give brugere mobilitet, kan
man risikere at investere penge på ødelægge den første investering.

Den løsning jeg bedste kan lide, er at smide tynde hardware klienter,
hos hjemmebrugerne, vpn løsninger fåes også til disse klienter. Derefter
lukkes der i routeren for alt, undtagen VPN. Via VPN kan de tilslutte
sig til en central citrix server.

Det gode ved denne løsning:

Hjemmebrugerne kan ikke installere spil, virus, mail-klienter der henter
post via IMAP; som ikke bliver fanget af virus scanneren, ectetera.

Nem administration

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C601378.1050701@example.net...
> Jens U. K. wrote:
>
> > Jeg tror ikke jeg er helt enig... Hvordan vil du sætte den hardware
> > firewall op? Så den kun er åben for VPN-traffik? Hvis den kun er åben
for
> > VPN-traffik er der imho ikke særlig stor sandsynlighed for at der kan
> > komme *snavs* på til at starte med. En software-firewall/content-scanner
> > vil nok have en bedre chance for at fange en trojan. Selvfølgelig er der
> > en mulighed for at en trojan kan omgå en software-firewall og det er
noget
> > rigtig skidt... men omvendt tror jeg at det er meget svært at sætte en
> > hardwarefirewall op til at kunne lukke af for en trojan, da en sådan jo
> > kan kommunikere næsten ligesom et hvilket som helst andet program på en
> > PC...
>
>
> En troj kan sætte en software firewall ud af drift, ved at deinstallere
> denne!

Det skrev jeg jo også, men hvad hvis brugeren ikke har rettigheder til at
deinstallere programmer?

> Det kan den ikke med en hardware firewall.

Til gengæld kan hardwarefirewallen ikke opdage at http over port 80 slet
ikke er normal traffik, men en trojan der prøver at *ringe hjem* (eller hvad
ved jeg), medmindre selvfølgelig at firewallen i dette tilfælde er lukket
for http over port 80.

> > placeret internt i firmaet som det kan lade sig gøre! Men der kommer
bare
> > et ubehageligt overhead når der hjemme-PC'en skal på Internettet.
>
> På den anden side kan man nemt investere 100.000-200.000 på den centrale
> firewall.

Hvad baserer du det tal på?

> Hvis man investere så mange penge, må det være fordi man
> ønsker at sikre værdier for firmaet, ellers er man dum :)

Jeg ved ikke hvad jeg skal svare... selvfølgelig ønsker man at sikre værdier
for firmaet, det er jo derfor man laver alle disse foranstaltninger, og hvor
dyrt det skal være må jo komme an på hvad man kan tabe samt firmaets
politik/holdning.

>
> Hvis man efterfølgende investere penge på at give brugere mobilitet, kan
> man risikere at investere penge på ødelægge den første investering.

Tjah, jeg kan ikke lige gennemskue hvad du mener... kan du uddybe?

> Den løsning jeg bedste kan lide, er at smide tynde hardware klienter,
> hos hjemmebrugerne, vpn løsninger fåes også til disse klienter. Derefter
> lukkes der i routeren for alt, undtagen VPN. Via VPN kan de tilslutte
> sig til en central citrix server.

Hvad koster sådan en? Og klienterne dertil?

> Det gode ved denne løsning:

Er der slet ikke noget dårligt?

>
> Hjemmebrugerne kan ikke installere spil, virus, mail-klienter der henter
> post via IMAP; som ikke bliver fanget af virus scanneren, ectetera.

Kunne man ikke forestille sig et lignende setup hvor OS på hjemme-PC'en var
f.eks. NT Workstation og at det kun var administratoren der havde mulighed
for at installere/deinstallere processer/programmer?
Så kunne man vel også forestille sig at den egentlige bruger af hjemme-PC'en
kun fik de mest nødvendige privilegier og altså heller ikke kan installere
spil, virus, osv.
Evt. kunne der være noget dual-boot agtigt (eller måske en HD-skuffe som
bliver skiftet afhængigt om PC'en skal bruges privat eller med VPN), således
at PC'en kunne bruges privat til spil oa. Det var bare lige en strøtanke,
men det kan da formentlig laves rimelig sikkert?!

> Nem administration

Sådan noget lyder jo altid godt, men jeg har desværre ingen erfaring med
Citrix og det er der ingen i firmaet der har, så det vil jo kræve
konsulenter eller uddanelse... og så skal man jo til at regne ud om det kan
betale sig...

/Jens Ulrik

---

Jens U. K. wrote:

>>En troj kan sætte en software firewall ud af drift, ved at deinstallere
>>denne!
> Det skrev jeg jo også, men hvad hvis brugeren ikke har rettigheder til at
> deinstallere programmer?


Rettigheder kan omgåes.

>>Det kan den ikke med en hardware firewall.
> Til gengæld kan hardwarefirewallen ikke opdage at http over port 80 slet
> ikke er normal traffik, men en trojan der prøver at *ringe hjem* (eller hvad
> ved jeg), medmindre selvfølgelig at firewallen i dette tilfælde er lukket
> for http over port 80.


Men her bør firmaets centrale firewall, fange trojen. Typisk vil
firewallen smide trafikken til en boks, med et produkt (fx MIMEsweeper),
der scanner for indholdssikkerhed, og forhindre programmer af enhver art
i at komme ind, i henhold til den udarbejdet sikkerhedspolitik.

>>På den anden side kan man nemt investere 100.000-200.000 på den centrale
>>firewall.
> Hvad baserer du det tal på?


Et firma med 100 brugere:

En server til firewall 20.000, og en server til indholdssikkerhed
20.000, Firewall-1 60.000 kr, MIMEsweeper/WEBsweeper 60.000,
installation 20.000...ialt 180.000 kr. Endvidere kommer der vedligeholdelse.

En PIX kan gøre tallene mindre, men ovenstående er ret typisk.

>>Hvis man investere så mange penge, må det være fordi man
>>ønsker at sikre værdier for firmaet, ellers er man dum :)
> Jeg ved ikke hvad jeg skal svare... selvfølgelig ønsker man at sikre værdier
> for firmaet, det er jo derfor man laver alle disse foranstaltninger, og hvor
> dyrt det skal være må jo komme an på hvad man kan tabe samt firmaets
> politik/holdning.


Hvis man kan tabe 0 kr, og bruger 200.000 kr på at beskytte de 0 kr, er
men vel dum?

>>Hvis man efterfølgende investere penge på at give brugere mobilitet, kan
>>man risikere at investere penge på ødelægge den første investering.
> Tjah, jeg kan ikke lige gennemskue hvad du mener... kan du uddybe?


Jo, hvis nu man køber en Cisco consentrator, og derefter sætte det op
uden at tænke på at de mobile brugere også skal beskyttes, dvs. at man
kan komme ind via de mobile brugere, er det så ikke meningsløst at have
investeret ovennævnte?

Et andet eksempel, som ses tit, er at mobile brugere skal have adgang
til deres Exchange, derfor sætte man en webservere op på LAN'et for at
installere OWA, således at man udefra kan tilgå webgrænsefladen.

>>Den løsning jeg bedste kan lide, er at smide tynde hardware klienter,
>>hos hjemmebrugerne, vpn løsninger fåes også til disse klienter. Derefter
>>lukkes der i routeren for alt, undtagen VPN. Via VPN kan de tilslutte
>>sig til en central citrix server.
> Hvad koster sådan en? Og klienterne dertil?


Citrix serveren med software, det ved jeg ikke, klienterne omkring
3.000-6.000.

Hvad koster decentral administraion af 100 hjemmearbejdspladser? Hvad
koster indkøb af 100 hjemmearbejdspladser?

>>Det gode ved denne løsning:
> Er der slet ikke noget dårligt?


Kan ikke bruges til tunge grafiske miljøer.

Har du langesvartider på din WAN forbindelse, er det ret kedeligt at
kører Citrix.

>>Hjemmebrugerne kan ikke installere spil, virus, mail-klienter der henter
>>post via IMAP; som ikke bliver fanget af virus scanneren, ectetera.
> Kunne man ikke forestille sig et lignende setup hvor OS på hjemme-PC'en var
> f.eks. NT Workstation og at det kun var administratoren der havde mulighed
> for at installere/deinstallere processer/programmer?


Rettighederne kan stadigvæk omgåes. At du kører NT er en klar forbedring
i forhold til 95/98.

> Så kunne man vel også forestille sig at den egentlige bruger af hjemme-PC'en
> kun fik de mest nødvendige privilegier og altså heller ikke kan installere
> spil, virus, osv.


Brugeren kan stadigvæk blive inficeret med en virus, der har ikke noget
med filrettigheder at gører, så længe virusen har redskaber til at
sprede sig igennem som fx. office pakken, er der ikke så meget at gøre
på den lokale arbejdsplads, end at bede til at ens antivirus produkt er
uptodate.

Endvidere kan man stadigvæk smide en floppy i floppydrevet, med virus.

> Evt. kunne der være noget dual-boot agtigt (eller måske en HD-skuffe som
> bliver skiftet afhængigt om PC'en skal bruges privat eller med VPN), således
> at PC'en kunne bruges privat til spil oa. Det var bare lige en strøtanke,
> men det kan da formentlig laves rimelig sikkert?!


Skuffen er jeg selv meget tilhænger af, da administrationen også er
nemmer, brugeren tager blot skuffen med på arbejde hvis der er noget galt.

>>Nem administration
> Sådan noget lyder jo altid godt, men jeg har desværre ingen erfaring med
> Citrix og det er der ingen i firmaet der har, så det vil jo kræve
> konsulenter eller uddanelse... og så skal man jo til at regne ud om det kan
> betale sig...

Man kan få et tilbud.

Et alternativ kan være X11, IBM har en tynd citrix klient der også kører
X11. I din X11 session kan du godt kører Windows, som bliver kørt i en
vmware!

Jeg sidder i øjeblikket og leger med VNC, hvor man på en Linux maskine
kører mange vmware maskine og i hver maskine kører man windows, hvor VNC
er installeret.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message news:3C60637B.60606@example.net...
> Jens U. K. wrote:
>
> >>En troj kan sætte en software firewall ud af drift, ved at
deinstallere
> >>denne!
> > Det skrev jeg jo også, men hvad hvis brugeren ikke har rettigheder til
at
> > deinstallere programmer?
>
>
> Rettigheder kan omgåes.

Ja, hvis der en fejl i OS eller opsætning (og det er jo set før)

> >>Det kan den ikke med en hardware firewall.
> > Til gengæld kan hardwarefirewallen ikke opdage at http over port 80
slet
> > ikke er normal traffik, men en trojan der prøver at *ringe hjem*
(eller hvad
> > ved jeg), medmindre selvfølgelig at firewallen i dette tilfælde er
lukket
> > for http over port 80.
>
>
> Men her bør firmaets centrale firewall, fange trojen. Typisk vil
> firewallen smide trafikken til en boks, med et produkt (fx MIMEsweeper),
> der scanner for indholdssikkerhed, og forhindre programmer af enhver art
> i at komme ind, i henhold til den udarbejdet sikkerhedspolitik.

Det er jo nok sådan noget der skal til hvis man vil være lidt mere
sikker... jeg har bare en ide om at sådan nogen content scannere er
ubehageligt besværlige at sætte op/vedligeholde.

[...]
> >>Hvis man investere så mange penge, må det være fordi man
> >>ønsker at sikre værdier for firmaet, ellers er man dum :)
> > Jeg ved ikke hvad jeg skal svare... selvfølgelig ønsker man at sikre
værdier
> > for firmaet, det er jo derfor man laver alle disse foranstaltninger,
og hvor
> > dyrt det skal være må jo komme an på hvad man kan tabe samt firmaets
> > politik/holdning.
>
> Hvis man kan tabe 0 kr, og bruger 200.000 kr på at beskytte de 0 kr, er
> men vel dum?

Det lyder umiddelbart lidt dumt, jeg tror vi er overordnet enige.

> >>Hvis man efterfølgende investere penge på at give brugere mobilitet,
kan
> >>man risikere at investere penge på ødelægge den første investering.
> > Tjah, jeg kan ikke lige gennemskue hvad du mener... kan du uddybe?
>
> Jo, hvis nu man køber en Cisco consentrator, og derefter sætte det op
> uden at tænke på at de mobile brugere også skal beskyttes, dvs. at man
> kan komme ind via de mobile brugere, er det så ikke meningsløst at have
> investeret ovennævnte?

Det kommer da meget an på hvordan de mobile klienter er sat op. Af
indlysende grunde vil det være svært/umuligt at sætte filtre op i routere
og have hardwarefirewall på en mobil klient. Den med at der kun er åbent
for specifikke IP-adresser ryger selvfølgelig også på gulvet. Hvis man så
vælger at åbne for VPN-traffik fra alle IP-adresser vil samme problemer
gøre sig gældende, hvis nu en hjemme-PC bruger vælger at tage sin PC med
til en anden lokation.
Kunne man ikke til dels løse dette problem ved at authentificere med MAC i
stedet for IP?

> Et andet eksempel, som ses tit, er at mobile brugere skal have adgang
> til deres Exchange, derfor sætte man en webservere op på LAN'et for at
> installere OWA, således at man udefra kan tilgå webgrænsefladen.

Ja, det lyder jo lidt farligt, hvis ikke det foregår via VPN.

> Hvad koster decentral administraion af 100 hjemmearbejdspladser?

Mener du den ikke kan være central?
Hvad hvis det kun drejer sig om 5-10 arbejdspladser, kan det så stadig
betale sig at investere i en Citrix server, kraftigere WAN forbindelse,
opsætning, afprøvning osv.

> Hvad
> koster indkøb af 100 hjemmearbejdspladser?

Tja, det kommer jo an på så meget.

> >>Det gode ved denne løsning:
> > Er der slet ikke noget dårligt?
>
> Kan ikke bruges til tunge grafiske miljøer.
>

Er f.eks. MSWord på WinNT et tungt grafisk miljø?
Kan du komme med et eksempel på et sådant miljø?

> Har du langesvartider på din WAN forbindelse, er det ret kedeligt at
> kører Citrix.

Det er jo ikke så godt.

> >>Hjemmebrugerne kan ikke installere spil, virus, mail-klienter der
henter
> >>post via IMAP; som ikke bliver fanget af virus scanneren, ectetera.
> > Kunne man ikke forestille sig et lignende setup hvor OS på
hjemme-PC'en var
> > f.eks. NT Workstation og at det kun var administratoren der havde
mulighed
> > for at installere/deinstallere processer/programmer?
>
>
> Rettighederne kan stadigvæk omgåes. At du kører NT er en klar forbedring
> i forhold til 95/98.
>
> > Så kunne man vel også forestille sig at den egentlige bruger af
hjemme-PC'en
> > kun fik de mest nødvendige privilegier og altså heller ikke kan
installere
> > spil, virus, osv.
>
> Brugeren kan stadigvæk blive inficeret med en virus, der har ikke noget
> med filrettigheder at gører, så længe virusen har redskaber til at
> sprede sig igennem som fx. office pakken, er der ikke så meget at gøre
> på den lokale arbejdsplads, end at bede til at ens antivirus produkt er
> uptodate.

Personligt ville jeg nok foretrække at vide at det var uptodate :)

> Endvidere kan man stadigvæk smide en floppy i floppydrevet, med virus.

Du snakker om at boote op med en floppy?!? Det kan der nok være nogen
problemer i forbindelse med... men man kan jo rette BIOS til så maskinen
ikke vil boote fra floppy!

> > Evt. kunne der være noget dual-boot agtigt (eller måske en HD-skuffe
som
> > bliver skiftet afhængigt om PC'en skal bruges privat eller med VPN),
således
> > at PC'en kunne bruges privat til spil oa. Det var bare lige en
strøtanke,
> > men det kan da formentlig laves rimelig sikkert?!
>
> Skuffen er jeg selv meget tilhænger af, da administrationen også er
> nemmer, brugeren tager blot skuffen med på arbejde hvis der er noget
galt.

Let administration... det lyder jo altid godt.

> >>Nem administration
> > Sådan noget lyder jo altid godt, men jeg har desværre ingen erfaring
med
> > Citrix og det er der ingen i firmaet der har, så det vil jo kræve
> > konsulenter eller uddanelse... og så skal man jo til at regne ud om
det kan
> > betale sig...
>
> Man kan få et tilbud.
>
> Et alternativ kan være X11, IBM har en tynd citrix klient der også kører
> X11. I din X11 session kan du godt kører Windows, som bliver kørt i en
> vmware!

Jeg kender ikke lige X11, men jeg går ud fra at det en slags
terminalserver?
Jeg vil tro at den type løsninger ikke er helt problemfri. Jeg vil mene at
det med at køre programmer i et virtuelt miljø bare ikke kan fungere
ligeså godt som det i det rigtige miljø.

> Jeg sidder i øjeblikket og leger med VNC, hvor man på en Linux maskine
> kører mange vmware maskine og i hver maskine kører man windows, hvor VNC
> er installeret.

Det lyder sjovt, men jeg vil stadig tro at det bare er at bede om at få
problemer med Windows.

/Jens Ulrik

---

"Jens U. K." wrote:
>
> Kunne man ikke til dels løse dette problem ved at authentificere med MAC i
> stedet for IP?

VPN klienternes autentifikation overfor serveren skal hverken
basseres på MAC eller IP. Der skal ligge en privat nøgle på
harddisken, VPN serveren skal kende den tilsvarende offentlige
nøgle.

IP addresser bør bruges som filter på klienten, så den kun
tager imod VPN pakker fra serverens kendte IP addresse, og så
den desuden kun sender VPN pakker til serveren. Alle andre
pakker bør filtreres fra. Samtidig skal VPN klienten sættes
op så den kender VPN serverens offentlige nøgle, og ikke
accepterer pakker fra andre.

Hvis man flytter klienterne rundt ville der muligvis være en
fordel ved en softwarefirewall, idet der før eller siden
ville være nogen, der kom til at tilslutte maskinen udenom
hardware firewall.

> >
> > Et alternativ kan være X11, IBM har en tynd citrix klient der også kører
> > X11. I din X11 session kan du godt kører Windows, som bliver kørt i en
> > vmware!
>
> Jeg kender ikke lige X11, men jeg går ud fra at det en slags
> terminalserver?

Jo, noget i den retning. En X11 klient er et program, der
ønsker at åbne et vindue. X11 serveren, er det program, der
generere skærmbilledet og har forbindelse til skærm,
tastatur og mus. Der findes også virtuelle X11 servere, der
ikke er tilsluttet fysisk hardware. For klienten er det
fuldstændig transparent om serveren generere billedet på en
skærm eller i en intern buffer.

X11 er meget brugt i UNIX og lignende miljøer. (Mindst 99%
af de grafiske programer fungerer på den måde.)

> Jeg vil tro at den type løsninger ikke er helt problemfri. Jeg vil mene at
> det med at køre programmer i et virtuelt miljø bare ikke kan fungere
> ligeså godt som det i det rigtige miljø.

Det viruelle miljø er ikke noget problem. Derimod kan det
være et problem, at dine programmer ikke er X11 programmer.

>
> > Jeg sidder i øjeblikket og leger med VNC, hvor man på en Linux maskine
> > kører mange vmware maskine og i hver maskine kører man windows, hvor VNC
> > er installeret.
>
> Det lyder sjovt, men jeg vil stadig tro at det bare er at bede om at få
> problemer med Windows.

Jeg synes løsningen lyder som noget, der kunne virke. Men
det kunne nemt blive ineffektivt. Jeg har set windows2000
køre under vmware uden problemer. Om windows har noget
særligt imod VNC serverne ved jeg ikke, men jeg kender da
personer, der bruger det uden store problemer.

Jeg vil tro, at netforbindelsen nemt kunne blive en
flaskehals. Der er dog den store fordel, at selvom
netforbindelsen forsvinder, vil programmerne forblive
åbne. Når netforbindelsen kommer igen kan du koble på
igen, og alle vinduer står som da du forlod dem.

En kombination af X11 og VNC er også helt problemfri. Der
findes en virtuel X11 server, der samtdig fungerer som
VNC server. Der findes også en VNC klient til X11.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3C613BC7.35E1BF2F@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > Kunne man ikke til dels løse dette problem ved at authentificere med MAC
i
> > stedet for IP?
>
> VPN klienternes autentifikation overfor serveren skal hverken
> basseres på MAC eller IP. Der skal ligge en privat nøgle på
> harddisken, VPN serveren skal kende den tilsvarende offentlige
> nøgle.

Jeg mente dog også at det var i filteret til VPN-concentratoren der skulle
checkes (det var bare lidt dårligt formuleret), der skal selvfølgelig være
enten et PKI-system eller brugernavn og password til autentifikation.

> IP addresser bør bruges som filter på klienten, så den kun
> tager imod VPN pakker fra serverens kendte IP addresse, og så
> den desuden kun sender VPN pakker til serveren. Alle andre
> pakker bør filtreres fra. Samtidig skal VPN klienten sættes
> op så den kender VPN serverens offentlige nøgle, og ikke
> accepterer pakker fra andre.

Ja, enten sådan eller med brugernavn og password, og selvfølgelig en god
policy.

> Hvis man flytter klienterne rundt ville der muligvis være en
> fordel ved en softwarefirewall, idet der før eller siden
> ville være nogen, der kom til at tilslutte maskinen udenom
> hardware firewall.

Det er i hvert fald et godt argument for at bruge en softwarefirewall.

> > > Et alternativ kan være X11, IBM har en tynd citrix klient der også
kører
> > > X11. I din X11 session kan du godt kører Windows, som bliver kørt i en
> > > vmware!
> >
> > Jeg kender ikke lige X11, men jeg går ud fra at det en slags
> > terminalserver?
>
> Jo, noget i den retning. En X11 klient er et program, der
> ønsker at åbne et vindue. X11 serveren, er det program, der
> generere skærmbilledet og har forbindelse til skærm,
> tastatur og mus. Der findes også virtuelle X11 servere, der
> ikke er tilsluttet fysisk hardware. For klienten er det
> fuldstændig transparent om serveren generere billedet på en
> skærm eller i en intern buffer.
>
> X11 er meget brugt i UNIX og lignende miljøer. (Mindst 99%
> af de grafiske programer fungerer på den måde.)

Jeg kender lidt til X-windows, det har lidt med sagen at gøre ik'?

> > > Jeg sidder i øjeblikket og leger med VNC, hvor man på en Linux maskine
> > > kører mange vmware maskine og i hver maskine kører man windows, hvor
VNC
> > > er installeret.
> >
> > Det lyder sjovt, men jeg vil stadig tro at det bare er at bede om at få
> > problemer med Windows.
>
> Jeg synes løsningen lyder som noget, der kunne virke. Men
> det kunne nemt blive ineffektivt. Jeg har set windows2000
> køre under vmware uden problemer. Om windows har noget
> særligt imod VNC serverne ved jeg ikke, men jeg kender da
> personer, der bruger det uden store problemer.

Jeg vil nok se det før jeg tror det, personligt har jeg ikke så megen tiltro
til windowsprogrammer i forvejen og hvis de så skal til at køre i nogen
virtuelle miljøer... nej, jeg skla se det før jeg tror det!

[...]
> --
> Kasper Dupont
> For sending spam use mailto:razor-report@daimi.au.dk

/Jens Ulrik

---

"Jens U. K." wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3C613BC7.35E1BF2F@daimi.au.dk...
> >
> > X11 er meget brugt i UNIX og lignende miljøer. (Mindst 99%
> > af de grafiske programer fungerer på den måde.)
>
> Jeg kender lidt til X-windows, det har lidt med sagen at gøre ik'?

Jo, X11 betyder X-windows version 11.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Jens U. K. wrote:

>>Men her bør firmaets centrale firewall, fange trojen. Typisk vil
>>firewallen smide trafikken til en boks, med et produkt (fx MIMEsweeper),
>>der scanner for indholdssikkerhed, og forhindre programmer af enhver art
>>i at komme ind, i henhold til den udarbejdet sikkerhedspolitik.
> Det er jo nok sådan noget der skal til hvis man vil være lidt mere
> sikker... jeg har bare en ide om at sådan nogen content scannere er
> ubehageligt besværlige at sætte op/vedligeholde.


Det behøver ikke at være svært vi bruger typisk to dage, på sådan en
opsætning, den første til at finde ud af hvordan den skal sættes op, den
næste til installationen.

> gøre sig gældende, hvis nu en hjemme-PC bruger vælger at tage sin PC med
> til en anden lokation.
> Kunne man ikke til dels løse dette problem ved at authentificere med MAC i
> stedet for IP?


Nej, MAC er et LAN-begreb og eksitere fx ikke over en dial-up forbindelse.

Løsningen er at sætte sin VPN klient ordenligt op, eller finde en der
kan sættes ordenligt op.

> Mener du den ikke kan være central?
> Hvad hvis det kun drejer sig om 5-10 arbejdspladser, kan det så stadig
> betale sig at investere i en Citrix server, kraftigere WAN forbindelse,
> opsætning, afprøvning osv.


Nej, i forbindelse med WAN forbindelsen skal du bruge en mindre WAN
forbindelse i forhold til ikke at kører Citrix!

> Er f.eks. MSWord på WinNT et tungt grafisk miljø?
> Kan du komme med et eksempel på et sådant miljø?


Nej, men hvis du arbejder i Photoshop med en opløsning på 1240*1024 og
32 bitplaner har du et stort problem.

> Du snakker om at boote op med en floppy?!? Det kan der nok være nogen
> problemer i forbindelse med... men man kan jo rette BIOS til så maskinen
> ikke vil boote fra floppy!


De er sku så kreative, at nogle godt kan finde ud af at finde en "fix"
på nettet :)

Resten af dine spørgsmål svarer Kaspter på :)

---

Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Det behøver ikke at være svært vi bruger typisk to dage, på sådan en
> opsætning, den første til at finde ud af hvordan den skal sættes op, den
> næste til installationen.

Wow. Jeg har aldrig oplevet at den slags krav blive samlet paa mindre
end en uge. Menneskerne i dette land er meget effektive.

Hvor lang tid bruger I paa at teste regelsaettet, og er det en fuldt
automatiseret opgave?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Wow. Jeg har aldrig oplevet at den slags krav blive samlet paa mindre
> end en uge. Menneskerne i dette land er meget effektive.


De fleste har et simpelt behov, og tit bliver for meget da også filteret
fra. Brugeren får dog besked og kan kontakte en administrator med adgang
til vedlægget.

Skal vi alle faser igennem kan det godt tage minst 2-4 uger.


> Hvor lang tid bruger I paa at teste regelsaettet, og er det en fuldt
> automatiseret opgave?


Ikke den tid man bør bruge på det! Testen vil typisk tage længere tid
end installationen, hvilker mange kunder ikke er indstillet på at betale.

Ovenstående er et generelt problem.

Jeg plejer dog også at anbefalde dem at få det testet af nogle
ikke-fra-mit-firma-konsulenter.


Faktisk har vi fundet et par huller i produkterne, men det skal
rapporteres en dag vi har tid til det.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C615C10.4010805@example.net...
> Alex Holst wrote:
>
> > Wow. Jeg har aldrig oplevet at den slags krav blive samlet paa mindre
> > end en uge. Menneskerne i dette land er meget effektive.
>
>
> De fleste har et simpelt behov, og tit bliver for meget da også filteret
> fra. Brugeren får dog besked og kan kontakte en administrator med adgang
> til vedlægget.
>
> Skal vi alle faser igennem kan det godt tage minst 2-4 uger.

Problemet er jo nok at alle firmaer har deres specielle måde at gøre tingene
på, og at det ikke er let at overskue og få det implementeret rigtigt.
Medmindre at virksomheden er et skoleeksempel og har en klokkeklar
sikkerhedspolitik, så er det sikkert ordnet på en eftermiddag af en ekspert.

[...]

> Jeg plejer dog også at anbefalde dem at få det testet af nogle
> ikke-fra-mit-firma-konsulenter.

Det er jo klart en god ide!

/Jens Ulrik

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C615414.4070503@example.net...
> Jens U. K. wrote:
[...]
> > Kunne man ikke til dels løse dette problem ved at authentificere med MAC
i
> > stedet for IP?
>
> Nej, MAC er et LAN-begreb og eksitere fx ikke over en dial-up forbindelse.

Tsk... det viste jeg jo godt, der var jeg nok lige en tand for hurtig med
gode ideer.

[...]

> i forbindelse med WAN forbindelsen skal du bruge en mindre WAN
> forbindelse i forhold til ikke at kører Citrix!

Det kommer vel lidt an på hvordan klienten bruges... Men på den aktuelle
arbejdsplads har du nok ret alligevel. Jeg går ud fra at citrix kun
overfører de nødvendige opdateringer til skærmbilledet og derfor ikke bruger
så meget båndbredde!
Hvordan har Citrix det med lyd? Findes der klienter der kan klare det?

[...]
> > Du snakker om at boote op med en floppy?!? Det kan der nok være nogen
> > problemer i forbindelse med... men man kan jo rette BIOS til så maskinen
> > ikke vil boote fra floppy!
>
> De er sku så kreative, at nogle godt kan finde ud af at finde en "fix"
> på nettet :)

Ja, sikkert! Så må man jo lave en løsning hvor data ligger krypteret på
hjemme-PC'en, så er der ikke så meget plads til kreativitet :)

> Resten af dine spørgsmål svarer Kaspter på :)

Det er jo rart!

/Jens Ulrik

---

Jens U. K. wrote:

> Hvordan har Citrix det med lyd? Findes der klienter der kan klare det?

Har det fint med lyd. Jeg kører FreeBSD 4.5-STABLE med citrix_ica-6.20.973
og der er fin lyd, når jeg kører op mod Windows.

/Ole

---

Den Wed, 06 Feb 2002 18:20:14 GMT skrev Ole Michaelsen:
>Jens U. K. wrote:
>
>> Hvordan har Citrix det med lyd? Findes der klienter der kan klare det?
>
>Har det fint med lyd. Jeg kører FreeBSD 4.5-STABLE med citrix_ica-6.20.973
>og der er fin lyd, når jeg kører op mod Windows.

Hvordan er det - citrix-serveren koster en formue, right? Er der nogen
klienter der kan køre op mod en Win2k med MS-Terminal Server?

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

---

Kent Friis wrote:
>
> Hvordan er det - citrix-serveren koster en formue, right? Er der nogen

Det bekymrer jeg mig heldigvis ikke om

/Ole

---

Den Wed, 06 Feb 2002 18:33:07 GMT skrev Ole Michaelsen:
>Kent Friis wrote:
>>
>> Hvordan er det - citrix-serveren koster en formue, right? Er der nogen
>
>Det bekymrer jeg mig heldigvis ikke om

Det var nu også mere mig selv jeg tænkte på - VNC virker fint, men
har den ulempe at vinduet får samme størrelse som maskinens skærm-
opløsning. Dumt når maskinen kører 1280x1024 og man VNC'er fra en
maskine der kører 1024x768.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

---

Hej kfr@fleggaard.dk (Kent Friis)

>>Har det fint med lyd. Jeg kører FreeBSD 4.5-STABLE med citrix_ica-6.20.973
>>og der er fin lyd, når jeg kører op mod Windows.
>
>Hvordan er det - citrix-serveren koster en formue, right?

I den grad. Foruden at man skal betale licenser for msts delen.

>Er der nogen
>klienter der kan køre op mod en Win2k med MS-Terminal Server?

Der findes jo den almindelige mstsc til Win32 og ActiveX. Findes der
browsere på andre platforme der kan forstå ActiveX?

Mener også der er lavet en WinCE RDP klient - og ellers kan du jo
kigge på rdesktop som er open source. http://www.rdesktop.org/

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Wed, 06 Feb 2002 20:18:35 +0100 skrev Lars Kim Lund:
>Hej kfr@fleggaard.dk (Kent Friis)
>
>>>Har det fint med lyd. Jeg kører FreeBSD 4.5-STABLE med citrix_ica-6.20.973
>>>og der er fin lyd, når jeg kører op mod Windows.
>>
>>Hvordan er det - citrix-serveren koster en formue, right?
>
>I den grad. Foruden at man skal betale licenser for msts delen.

Bugger...

>>Er der nogen
>>klienter der kan køre op mod en Win2k med MS-Terminal Server?
>
>Der findes jo den almindelige mstsc til Win32 og ActiveX. Findes der
>browsere på andre platforme der kan forstå ActiveX?

Det tror jeg ikke - ActiveX er reelt ikke meget andet end en exefil...

>Mener også der er lavet en WinCE RDP klient - og ellers kan du jo
>kigge på rdesktop som er open source. http://www.rdesktop.org/

Sidst jeg prøvede ville den ikke snakke med Win2k.

Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.

---

Hej kfr@fleggaard.dk (Kent Friis)

>>Mener også der er lavet en WinCE RDP klient - og ellers kan du jo
>>kigge på rdesktop som er open source. http://www.rdesktop.org/
>
>Sidst jeg prøvede ville den ikke snakke med Win2k.

Har ikke prøvet. Men i overview står der:

"rdesktop is an open source client for Windows NT Terminal Server and
Windows 2000 Terminal Services, "

så det burde fungere. En mulighed er at der måske var andre forhold
end lige rdesktop der gjorde at det ikke fungerede?

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Wed, 06 Feb 2002 21:06:27 +0100 skrev Lars Kim Lund:
>Hej kfr@fleggaard.dk (Kent Friis)
>
>>>Mener også der er lavet en WinCE RDP klient - og ellers kan du jo
>>>kigge på rdesktop som er open source. http://www.rdesktop.org/
>>
>>Sidst jeg prøvede ville den ikke snakke med Win2k.
>
>Har ikke prøvet. Men i overview står der:
>
>"rdesktop is an open source client for Windows NT Terminal Server and
>Windows 2000 Terminal Services, "
>
>så det burde fungere. En mulighed er at der måske var andre forhold
>end lige rdesktop der gjorde at det ikke fungerede?

Jeg har lige testet igen, og den nye version fungerer faktisk.

Mvh
Kent
--
Is windows userfriendly? Nah, more like optimized for idiots.

---

"Kent Friis" skrev

> Hvordan er det - citrix-serveren koster en formue, right?

Ja, men det er efterhånden ved at være hvor det er noget ved.

> Er der nogen klienter der kan køre op mod en Win2k med MS-Terminal
> Server?

Til noget *nix-halløj?

Et af de første links google smed efter mig var:

<URL: http://www.rdesktop.org/ >

Du kan også hive læderet frem og købe en klient (du kan gratis hente
og bruge en 3 x 20 minutters 128 bit (kryptering måske?) testversion):

<URL: http://www.thincomputinginc.com/winconnect/ >

Med venlig hilsen

Peder

---

Den Wed, 6 Feb 2002 23:49:08 +0100 skrev Peder Vendelbo Mikkelsen:
>"Kent Friis" skrev
>
>> Hvordan er det - citrix-serveren koster en formue, right?
>
>Ja, men det er efterhånden ved at være hvor det er noget ved.
>
>> Er der nogen klienter der kan køre op mod en Win2k med MS-Terminal
>> Server?
>
>Til noget *nix-halløj?

Jeps, linux. (Troede vist det var d.e.s.unix).

>Du kan også hive læderet frem og købe en klient (du kan gratis hente
>og bruge en 3 x 20 minutters 128 bit (kryptering måske?) testversion):
>
><URL: http://www.thincomputinginc.com/winconnect/ >

3x20 minutter - det var egentlig ikke meget test. Jeg kan sikkert nok
nøjes med 20 minutter ad gangen, men kun tre gange? Nå, så må jeg nok
have fat i "strace"

Mvh
Kent
--
"Intelligence is the ability to avoid doing work, yet get the work done"
- Linus Torvalds

---

"Jens U. K." skrev

> > Kan ikke bruges til tunge grafiske miljøer.

> Er f.eks. MSWord på WinNT et tungt grafisk miljø?

MS-Word i Citrix kan sagtens være tungt, hvis brugeren er et fæhoved.

Vi er af og til ude for brugere som skriver rapporter, om f.eks. at de
har været en tur i udlandet.

En rapport uden billeder er jo kedelig, så man dumper indholdet af
digital kameraet i rapporten. Dokumentet kan hermed nemt komme til at
fylde et par hundrede MB.

Folk har dog fundet ud af, at de ikke skal forsøge at sende så store
emails, så farveprinteren må holde for og gerne med udskrifter i 50+
eksemplarer.

Det overrasker vel ikke nogen, hvis jeg nævner at disse brugere ofte
er at finde i chef-klassen og at man derfor ikke får noget ud af at
finde LARTen frem.

> Kan du komme med et eksempel på et sådant miljø?

Undgå så vidt muligt at køre programmer i TS eller Citrix, hvor bru-
geren har mulighed for at indsætte billeder, for det er stensikkert
at de vil forsøge det (problemet bliver ikke mindre af, at prisen på
digitalt videoudstyr er på vej ned [1]).

FUT er sat til Munkeklosteret, hvor det er mere ontopic at diskutere
brugernes manglende situationsfornemmelse.

Med venlig hilsen

Peder

[1] Spændende. Jeg har ikke tænkt over, at brugere sikkert også kunne
finde på at indsætte videofilm i et dokument, før. Godt vi ikke har
nogle maskiner med USB High Speed eller FireWire interface i huset,
endnu.

---

"Jens U. K." wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3C5FFCA3.8498BF87@daimi.au.dk...
>
> > Denne
> > server skal naturligvis sikres efter alle kunstens regler.
>
> Hvorfor det?

Hvis nogen kunne få serveren til at installere en trojan på
alle klienterne, ville du have et alvorligt problem.

>
> > [...] Hvis en trojan er kommet ind
> > bagved firewallen vil den have nemmere ved at åbne en forbindelse ud
> > igennem en software firewall end en hardware firewall.
>
> Jeg tror ikke jeg er helt enig... Hvordan vil du sætte den hardware
> firewall op? Så den kun er åben for VPN-traffik?

Filtrer indgående og udgående pakker på IP addresse. Filtrer
desuden på portaddresse/protokol afhængig af hvordan din VPN
løsning virker.

> Hvis den kun er åben for
> VPN-traffik er der imho ikke særlig stor sandsynlighed for at der kan
> komme *snavs* på til at starte med.

Det behøver ikke nødvendigvis komme ind gennem netforbindelsen.
Maskinen vil være ca. lige så godt beskyttet mod angreb over
nettet som maskiner indendenfor virksomheden. Men du har ikke
nødvendigvis samme kontrol med maskinen.

> En software-firewall/content-scanner
> vil nok have en bedre chance for at fange en trojan. Selvfølgelig er der
> en mulighed for at en trojan kan omgå en software-firewall og det er noget
> rigtig skidt...

Ja.

> men omvendt tror jeg at det er meget svært at sætte en
> hardwarefirewall op til at kunne lukke af for en trojan, da en sådan jo
> kan kommunikere næsten ligesom et hvilket som helst andet program på en
> PC...

Hardwarefirewallen kan som sagt ikke filtrere pakker på
hvilket program, der foretager kommunikationen. Men den kan
begrænse en trojans muligheder for at åbne en forbindelse
hjem ved at lukke for alle unødvendige udgående forbindelser.

>
> > Man kan vælge at
> > lukke for alt kommunikation over ADSL forbindelsen på nær VPN pakkkerne.
> > Hvis man så sætter klientens default gateway til VPN boksen i den anden
> > ende kan man med den rigtige opsætning tvinge kommunikationen mellem
> > klienten og resten af internettet igennem hardware firewallen.
>
> Tilføj en begrænsning af trafikken over ADSL til kun at kunne nå
> VPN-boksens IP-addresse, og lige netop dette setup er det som jeg vil
> betragte som det sikreste til en VPN-forbindelse. Forudsat at der ikke
> laves nogen fejl i setup'et, så er maskinen så tæt på at være fysisk
> placeret internt i firmaet som det kan lade sig gøre!

Nemlig, det var lige nøjagtigt det jeg mente. Filtrer både
på IP og port/protokol. Hvis du kan sætte det nødvendige
filter op i en ADSL router, vil softwarefirewallen blive
stortset lige så overflødig som på maskinerne bagved din
hardware firewall.

> Men der kommer bare
> et ubehageligt overhead når der hjemme-PC'en skal på Internettet.

Tænker du her på latens eller throughput? Hvor mange og
hvor hurtige er de ADSL forbindelser, du påregner at bruge.
Hvor meget båndbredde har du ud og ind gennem virksomhedens
firewall?

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3C604CD4.693124E3@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> > news:3C5FFCA3.8498BF87@daimi.au.dk...
> >
> > > Denne
> > > server skal naturligvis sikres efter alle kunstens regler.
> >
> > Hvorfor det?
>
> Hvis nogen kunne få serveren til at installere en trojan på
> alle klienterne, ville du have et alvorligt problem.

Ok ja, men hvis nogen kunne komme ind på det interne net tror jeg at vi
ville have langt alvorligere problemer end hvad der blev installeret på
klienterne!

>
> >
> > > [...] Hvis en trojan er kommet ind
> > > bagved firewallen vil den have nemmere ved at åbne en forbindelse ud
> > > igennem en software firewall end en hardware firewall.
> >
> > Jeg tror ikke jeg er helt enig... Hvordan vil du sætte den hardware
> > firewall op? Så den kun er åben for VPN-traffik?
>
> Filtrer indgående og udgående pakker på IP addresse. Filtrer
> desuden på portaddresse/protokol afhængig af hvordan din VPN
> løsning virker.

Det kan jeg godt regne ud, jeg tror du misforstår mig. Det jeg mente med
ovenstående er at jeg var enig med dig, hvis forudsætningen var at
firewallen *kun* var åben for VPN-traffik.

>
> > Hvis den kun er åben for
> > VPN-traffik er der imho ikke særlig stor sandsynlighed for at der kan
> > komme *snavs* på til at starte med.
>
> Det behøver ikke nødvendigvis komme ind gennem netforbindelsen.
> Maskinen vil være ca. lige så godt beskyttet mod angreb over
> nettet som maskiner indendenfor virksomheden. Men du har ikke
> nødvendigvis samme kontrol med maskinen.

Ok, jeg kan godt se at sandsynligheden for at junior og co. prøver at
installere nogen *spændende* programmer er større på hjemme-PC'en end en
PC'er på den fysiske arbejdsplads.

> > En software-firewall/content-scanner
> > vil nok have en bedre chance for at fange en trojan. Selvfølgelig er der
> > en mulighed for at en trojan kan omgå en software-firewall og det er
noget
> > rigtig skidt...
>
> Ja.

Medmindre man ikke har rettigheder til at deaktivere firewallen?!

> > men omvendt tror jeg at det er meget svært at sætte en
> > hardwarefirewall op til at kunne lukke af for en trojan, da en sådan jo
> > kan kommunikere næsten ligesom et hvilket som helst andet program på en
> > PC...
>
> Hardwarefirewallen kan som sagt ikke filtrere pakker på
> hvilket program, der foretager kommunikationen. Men den kan
> begrænse en trojans muligheder for at åbne en forbindelse
> hjem ved at lukke for alle unødvendige udgående forbindelser.

Og så skal der vel i teorien lukkes for alt pånær VPN til en bestemt
IP-addresse.

> >
> > > Man kan vælge at
> > > lukke for alt kommunikation over ADSL forbindelsen på nær VPN
pakkkerne.
> > > Hvis man så sætter klientens default gateway til VPN boksen i den
anden
> > > ende kan man med den rigtige opsætning tvinge kommunikationen mellem
> > > klienten og resten af internettet igennem hardware firewallen.
> >
> > Tilføj en begrænsning af trafikken over ADSL til kun at kunne nå
> > VPN-boksens IP-addresse, og lige netop dette setup er det som jeg vil
> > betragte som det sikreste til en VPN-forbindelse. Forudsat at der ikke
> > laves nogen fejl i setup'et, så er maskinen så tæt på at være fysisk
> > placeret internt i firmaet som det kan lade sig gøre!
>
> Nemlig, det var lige nøjagtigt det jeg mente. Filtrer både
> på IP og port/protokol. Hvis du kan sætte det nødvendige
> filter op i en ADSL router, vil softwarefirewallen blive
> stortset lige så overflødig som på maskinerne bagved din
> hardware firewall.

Med stort går jeg ud fra du mener noget á la min kommentar om junior og
co.?!

>
> > Men der kommer bare
> > et ubehageligt overhead når der hjemme-PC'en skal på Internettet.
>
> Tænker du her på latens eller throughput? Hvor mange og
> hvor hurtige er de ADSL forbindelser, du påregner at bruge.
> Hvor meget båndbredde har du ud og ind gennem virksomhedens
> firewall?

Jeg tænker nok primært throughput. Der skal jo bruges plads til både
indkapsling og kryptering og hvis først en bruger er blevet vant til at
forbindelsen til Internettet er hurtig, bliver brugeren ked af at
forbindelsen bliver en *del* langsommere, og så må man jo til at regne på om
brugeren ærgelser betyder nok til at der evt. skal installeres en
hardwarefirewall, softwarefirewall, osv.
Antallet af samtidige klienter vil formentlig ikke overstige 5.
Hastigheden af forbindelserne vil være ml. 256/128 og 2048/128 Kbit.
Båndbredden gennem virksomhedens firewall er pt. 2048/2048 Kbit.

/Jens Ulrik

---

"Jens U. K." wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3C604CD4.693124E3@daimi.au.dk...
> > "Jens U. K." wrote:
> > >
> > > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> > > news:3C5FFCA3.8498BF87@daimi.au.dk...
> > >
> > > > Denne
> > > > server skal naturligvis sikres efter alle kunstens regler.
> > >
> > > Hvorfor det?
> >
> > Hvis nogen kunne få serveren til at installere en trojan på
> > alle klienterne, ville du have et alvorligt problem.
>
> Ok ja, men hvis nogen kunne komme ind på det interne net tror jeg at vi
> ville have langt alvorligere problemer end hvad der blev installeret på
> klienterne!

Det har du nok ret i.

>
> > > En software-firewall/content-scanner
> > > vil nok have en bedre chance for at fange en trojan. Selvfølgelig er der
> > > en mulighed for at en trojan kan omgå en software-firewall og det er
> noget
> > > rigtig skidt...
> >
> > Ja.
>
> Medmindre man ikke har rettigheder til at deaktivere firewallen?!

Det er så et spørgsmål om, hvor sikkert dit operativsystem er.
Hvis trojanen kender en fejl i dit operativsystem, kan den
muligvis omgå sikkerheden alligevel. Du kan prøve at holde den
kritiske software på klienterne opdateret, og håbe på, at du
får installeret den nødvendige sikkerhedsopdatering, før du
bliver ramt af trojanen.

>
> > > men omvendt tror jeg at det er meget svært at sætte en
> > > hardwarefirewall op til at kunne lukke af for en trojan, da en sådan jo
> > > kan kommunikere næsten ligesom et hvilket som helst andet program på en
> > > PC...
> >
> > Hardwarefirewallen kan som sagt ikke filtrere pakker på
> > hvilket program, der foretager kommunikationen. Men den kan
> > begrænse en trojans muligheder for at åbne en forbindelse
> > hjem ved at lukke for alle unødvendige udgående forbindelser.
>
> Og så skal der vel i teorien lukkes for alt pånær VPN til en bestemt
> IP-addresse.

Ja. Men hvis trafik til internettet samtidig rutes igennem
virksomhedens hardware firewall, skal denne tage højde for en
evt. trojan. Hvordan det så gøres er straks en mere compliceret
sag.

>
> > >
> > > > Man kan vælge at
> > > > lukke for alt kommunikation over ADSL forbindelsen på nær VPN
> pakkkerne.
> > > > Hvis man så sætter klientens default gateway til VPN boksen i den
> anden
> > > > ende kan man med den rigtige opsætning tvinge kommunikationen mellem
> > > > klienten og resten af internettet igennem hardware firewallen.
> > >
> > > Tilføj en begrænsning af trafikken over ADSL til kun at kunne nå
> > > VPN-boksens IP-addresse, og lige netop dette setup er det som jeg vil
> > > betragte som det sikreste til en VPN-forbindelse. Forudsat at der ikke
> > > laves nogen fejl i setup'et, så er maskinen så tæt på at være fysisk
> > > placeret internt i firmaet som det kan lade sig gøre!
> >
> > Nemlig, det var lige nøjagtigt det jeg mente. Filtrer både
> > på IP og port/protokol. Hvis du kan sætte det nødvendige
> > filter op i en ADSL router, vil softwarefirewallen blive
> > stortset lige så overflødig som på maskinerne bagved din
> > hardware firewall.
>
> Med stort går jeg ud fra du mener noget á la min kommentar om junior og
> co.?!

Ja. Men jeg spekulerede også på, om maskinen vil være sat op
på samme måde som maskiner indenfor virksomheden.

>
> >
> > > Men der kommer bare
> > > et ubehageligt overhead når der hjemme-PC'en skal på Internettet.
> >
> > Tænker du her på latens eller throughput? Hvor mange og
> > hvor hurtige er de ADSL forbindelser, du påregner at bruge.
> > Hvor meget båndbredde har du ud og ind gennem virksomhedens
> > firewall?
>
> Jeg tænker nok primært throughput. Der skal jo bruges plads til både
> indkapsling og kryptering og hvis først en bruger er blevet vant til at
> forbindelsen til Internettet er hurtig, bliver brugeren ked af at
> forbindelsen bliver en *del* langsommere, og så må man jo til at regne på om
> brugeren ærgelser betyder nok til at der evt. skal installeres en
> hardwarefirewall, softwarefirewall, osv.

En VPN forbindelse behøves ikke bruge ret meget mere plads
end en rå forbindelsen. Der skal naturligvis udveksles et
par ekstra pakker i starten, og hvis forbindelsen er åben
længe, skal der udskiftes nøgler en gang imellem.

Om krypteringen skal bruge ekstra plads i hver pakker
afhænger af implementationen, en god løsning vil nok bruge
en ekstra blok i hver pakke. Desuden skal du bruge en
blok i hver pakker til signatur/MAC. Med 128 bits sikkerhed
bliver det 32 ekstra bytes per pakke.

Den ekstra indkapsling kunne omfatte en UDP header og en IP
header, det bliver så 40 bytes per pakke.

Hvis forbindelsen har en MTU på 1500 bytes, og trafikken er
i stand til at udnytte den fuldt ud, vil VPN kun bruge ca.
5% af båndbredden.

> Antallet af samtidige klienter vil formentlig ikke overstige 5.
> Hastigheden af forbindelserne vil være ml. 256/128 og 2048/128 Kbit.

Det lyder jo ikke af ret meget.

> Båndbredden gennem virksomhedens firewall er pt. 2048/2048 Kbit.

Det lyder heller ikke af ret meget. Hvis klienternes
trafik til internettet skal igennem denne to gange, kunne
du nemt få brug for mere kapacitet på dette sted.

>
> /Jens Ulrik

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3C60F988.8F06DB84@daimi.au.dk...
> "Jens U. K." wrote:
> >
> > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> > news:3C604CD4.693124E3@daimi.au.dk...
> > > "Jens U. K." wrote:
> > > >
> > > > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> > > > news:3C5FFCA3.8498BF87@daimi.au.dk...
[...]
> > > > Men der kommer bare
> > > > et ubehageligt overhead når der hjemme-PC'en skal på Internettet.
[...]
> En VPN forbindelse behøves ikke bruge ret meget mere plads
> end en rå forbindelsen. Der skal naturligvis udveksles et
> par ekstra pakker i starten, og hvis forbindelsen er åben
> længe, skal der udskiftes nøgler en gang imellem.
[...]
> Hvis forbindelsen har en MTU på 1500 bytes, og trafikken er
> i stand til at udnytte den fuldt ud, vil VPN kun bruge ca.
> 5% af båndbredden.

Det lyder jo ikke af så meget (5%), men har en typisk ADSL-forbindelse MTU
på 1500 bytes?

> > Antallet af samtidige klienter vil formentlig ikke overstige 5.
> > Hastigheden af forbindelserne vil være ml. 256/128 og 2048/128 Kbit.
>
> Det lyder jo ikke af ret meget.

Ups, der skulle stå 2048/*512* Kbit, men du har da ret i at det ikke er
ligeså hurtigt som en 100Mbit LAN forbindelse :)

> > Båndbredden gennem virksomhedens firewall er pt. 2048/2048 Kbit.
>
> Det lyder heller ikke af ret meget. Hvis klienternes
> trafik til internettet skal igennem denne to gange, kunne
> du nemt få brug for mere kapacitet på dette sted.

Det er også et observationspunkt i VPN-projektet.

> --
> Kasper Dupont
> For sending spam use mailto:razor-report@daimi.au.dk

/Jens Ulrik

---

"Jens U. K." wrote:
>
> Det lyder jo ikke af så meget (5%), men har en typisk ADSL-forbindelse MTU
> på 1500 bytes?

Jeg ved faktisk ikke, hvad MTU er på en ADSL-forbindelse.
MTU på ethernet er 1500 bytes. Jeg har hørt, at ADSL
bruger ATM, som har en pakkerstørelse på 53 bytes. Det er
alt for lidt til IP pakker, så en IP pakke må nødvendigvis
sendes som mange ATM pakker. Hvor mange ATM pakker der
tillades per IP pakke ved jeg ikke.

>
> > > Antallet af samtidige klienter vil formentlig ikke overstige 5.
> > > Hastigheden af forbindelserne vil være ml. 256/128 og 2048/128 Kbit.
> >
> > Det lyder jo ikke af ret meget.
>
> Ups, der skulle stå 2048/*512* Kbit, men du har da ret i at det ikke er
> ligeså hurtigt som en 100Mbit LAN forbindelse :)

Det var nu de 2048 Kbit jeg kiggede på, og det er langt
fra et 100Mbit LAN. Med fem klienter, der hver skal have
deres upstrem og downstream ud og ind gennem firewallen
giver altså højst (2048+512)*5Kbit=12.5Mbit i hver
retning gennem firewallen.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

On Wed, 06 Feb 2002 15:31:20 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Jeg ved faktisk ikke, hvad MTU er på en ADSL-forbindelse.

Det afhænger af, hvordan det er konfigureret. Jeg kører PPP over
ATM og har en IP MTU på 1500 på mit dialer-interface.

> Jeg har hørt, at ADSL bruger ATM, som har en pakkerstørelse på
> 53 bytes.

Det er ligegyldigt for IP MTU'en, fordi man blot fylder pakkerne
i PPP, man fylder dem ikke direkte i ATM-celler.

-A
--
http://www.hojmark.org/

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>
>Jeg ved faktisk ikke, hvad MTU er på en ADSL-forbindelse.
>MTU på ethernet er 1500 bytes.

Min TDC NE2 bruger 8 bytes på at pakke en PPP-pakke ind i en
ethernet-pakke vha. PPPoE, så jeg har en MTU på 1492 på mit
PPP-interface.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.