/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Kablet LAN kombineret med WLAN
Fra : antidote


Dato : 22-04-05 20:43

Hvis man i en virksomhed har et kablet LAN hvorpå de ansatte har adgang til
virksomhedens server, hvordan er tilgangen så til disse servere, hvis
løsningen udbygges med et WLAN.
Altså hvis personalet går på WLAN og skal accesse serveren på det kablede
net. Kan det lade sig gøre? - hvilken hardware skal bruges? - kan man
regulere det vha en firewall og hvis det er tilfældet, hvordan sikrer man så
at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Mange spørgsmål, men er der nogen der har tid/lyst til at hjælpe?

/A



 
 
Anders Lund (22-04-2005)
Kommentar
Fra : Anders Lund


Dato : 22-04-05 21:14

antidote wrote:
> Hvis man i en virksomhed har et kablet LAN hvorpå de ansatte har adgang til
> virksomhedens server, hvordan er tilgangen så til disse servere, hvis
> løsningen udbygges med et WLAN.

Mener du trådløst netværk? I så fald sætter man et access point op, som
sidder på det kablet netværk.

> Altså hvis personalet går på WLAN og skal accesse serveren på det kablede
> net. Kan det lade sig gøre? - hvilken hardware skal bruges?

Et access point.

> - kan man
> regulere det vha en firewall

Ja, du sætter en firewall imellem dit access point og dit lokale
netværk. Det er dog ikke nødvendigt, medmindre du skal have lavet nogle
mere advanceret afgrænsninger.

> og hvis det er tilfældet, hvordan sikrer man så
> at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
> WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Her kan man sætte det trådløse netværk op med VLANs (Virtuelle LANs). Så
får hvert VLAN på det trådløse netværk hver sin SSID (navnet på det
trådløse netværk). Så logger dine klienter på det ene VLAN og de
eksterne konsulenter på det andet VLAN. VLANene skal så konfigureres til
kun at give adgang

> Mange spørgsmål, men er der nogen der har tid/lyst til at hjælpe?

Jeg kan desværre ikke komme med en detajleret beskrivelse, men jeg har
set det virke.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

antidote (22-04-2005)
Kommentar
Fra : antidote


Dato : 22-04-05 21:45

"Anders Lund" <anders@andersonline.dk> skrev i en meddelelse
news:42695b1f$0$67255$157c6196@dreader2.cybercity.dk...
>
> Jeg kan desværre ikke komme med en detajleret beskrivelse, men jeg har set
> det virke.

Jeg takker for dine svar, hvis andre har kommentarer er de velkomne til at
tilføje dem.

Men endnu engang tak!
/A



Stig Johansen (23-04-2005)
Kommentar
Fra : Stig Johansen


Dato : 23-04-05 05:09

antidote wrote:

> hvordan sikrer man
> så at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
> WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Hvorfor skal 'ikke ansatte' have adgang til WLAN'et, når de ikke skal have
adgang til serverne?

--
Med venlig hilsen
Stig Johansen

Anders Lund (23-04-2005)
Kommentar
Fra : Anders Lund


Dato : 23-04-05 09:14

Stig Johansen wrote:
> Hvorfor skal 'ikke ansatte' have adgang til WLAN'et, når de ikke skal have
> adgang til serverne?

Måske skal de have adgang til Internettet.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

Calle. (23-04-2005)
Kommentar
Fra : Calle.


Dato : 23-04-05 09:36

Stig Johansen wrote:
> antidote wrote:
>
>> hvordan sikrer man
>> så at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang
>> til WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?
>
> Hvorfor skal 'ikke ansatte' have adgang til WLAN'et, når de ikke skal
> have adgang til serverne?
måske for at have forbindelse til deres egen server hjemme / internet mm.
--
Calle.



Alex Holst (24-04-2005)
Kommentar
Fra : Alex Holst


Dato : 24-04-05 09:55

antidote wrote:
> Hvis man i en virksomhed har et kablet LAN hvorpå de ansatte har adgang til
> virksomhedens server, hvordan er tilgangen så til disse servere, hvis
> løsningen udbygges med et WLAN.
> Altså hvis personalet går på WLAN og skal accesse serveren på det kablede
> net. Kan det lade sig gøre? - hvilken hardware skal bruges? - kan man
> regulere det vha en firewall og hvis det er tilfældet, hvordan sikrer man så
> at ikke ansatte (eksempelvis eksterne konsulenter) der har adgang til
> WLAN'et ikke samtidig får adgang til LAN'et og dermed serverne?

Både wired og wireless netværk har protokoller til validering og
adgangskontrol. Blandt andet IPsec og IEEE 802.1x kan benyttes i begge
tilfælde, afhængigt af behov.

Du skal naturligvis have tilstrækkeligt med trådløse access points til
at dække hele bygningen med signal. Om disse access points så er koblet
til internettet eller til det interne net, er op til jer. Hvis de blot
kobles på internettet, skal konsulenter og ansatte benytte VPN teknologi
til at komme ind på virksomhedens netværk.

Man kan køre et ret administrationsfrit trådløst miljø ved at filtre på
udgående forbindelser, og kun tillade de protokoller, porte og
destinations IP addresser som virksomheden og dens on-site partnere
benytter. Det fjerner effektivt risikoen for misbrug uden at kræve store
omkostninger til brugeradministration. Det betyder så, at man ikke
umiddelbart kan lukke adgangen for en evt. klumpet konsulent uden at
fjerne adgangen for hans 4 kollegaer fra samme konsulentvirksomhed også.

Hvis der alligevel er tilstrækkeligt mange forskellige partnere til at
der næsten dagligt skal ændres i reglerne, kan man lige så godt give
hver bruger et brugernavn og adgangskode.

Man kan ikke umiddelbart benytte en firewall til at forhindre at en PC
forbindes til det wired og wireless net på samme tid. Normalt er det en
politik man ønsker at sætte op i VPN klienten, men den slags kontrol har
man ofte ikke over de maskiner der har brug for at koble sig op via
trådløst net. Måske uddannelse er nok: sig til de pågældende, at de ikke
må koble udstyr på det wired net, sålænge deres trådløse netkort er
aktivt. De fleste bærbare har en knap der slår det trådløse net fra.

Alternativt kan du benytte førnævnte valideringsprotokoller således at
man simpelhen ikke kan komme på hhv. det wired og wireless net uden en
konto - og kun give én slags konto til hver medarbejder.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

antidote (24-04-2005)
Kommentar
Fra : antidote


Dato : 24-04-05 20:58

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:426b5ed5$0$166$edfadb0f@dtext02.news.tele.dk...
> Alternativt kan du benytte førnævnte valideringsprotokoller således at man
> simpelhen ikke kan komme på hhv. det wired og wireless net uden en konto -
> og kun give én slags konto til hver medarbejder.

Jeg takker og bukker for det uddybende og præcise svar - lige noget jeg kan
bruge. Der var en anden der spurgte om hvorfor ikke ansatte skulle have
adgang til WLAN'et og det er netop for at de skal kunne benytte Internettet.
Bare lige for at få det på plads.

Jeg har selv været inde og læse nærmere om 802.1X og synes det ligner en
løsning, der kan være brugbar i dette tilfælde, så det vil jeg gå videre
med.

/A



Stig Johansen (25-04-2005)
Kommentar
Fra : Stig Johansen


Dato : 25-04-05 05:44

antidote wrote:

> Der var en anden der spurgte om hvorfor ikke ansatte skulle
> have adgang til WLAN'et og det er netop for at de skal kunne benytte
> Internettet. Bare lige for at få det på plads.

Netop.
Årsagen til jeg spurgte var, at jeg var lidt i tvivl om du mente at
konsulenterne slet ikke skulle have adgang, eller kun skulle have adgang
til internettet.

Nu kender jeg ikke infrastrukturen i jeres virksomhed, men nå jeg besøger
kunder, foregår det oftest i afgrænsede områder, typisk mødelokaler.

Man kunne overveje at dække mødelokale(r) med separat WLAN, koblet på DMZ,
hvor konsulenter o lign. kan koble sig på.

--
Med venlig hilsen
Stig Johansen

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste