|
| Trådløst netværk Fra : lars@ljconsulting.dk |
Dato : 31-10-07 08:53 |
|
Hej
Jeg har en kunde som gerne vil have et åbent trådløst netværk.
Deres netværk er et trad. Windows domæne netværk.
Jeg vil så sætte en åben AP op og dem som benytter sig af det trådløse
netværk, får en IP-adr. fra domænets dhcp server, og har så adgang til
internettet.
Hvor sikkert er det?, og hvor meget af netværket kan man få adgang
til, uden at være medlem af domænet, kende admininistrator password
osv.?
På forhånd tak
| |
Bjarke Andersen (31-10-2007)
| Kommentar Fra : Bjarke Andersen |
Dato : 31-10-07 10:01 |
|
lars@ljconsulting.dk crashed Echelon writing
news:1193817200.204784.129670@k79g2000hse.googlegroups.com:
> Jeg har en kunde som gerne vil have et åbent trådløst netværk.
> Deres netværk er et trad. Windows domæne netværk.
Definer åben trådløst netværk.
> Jeg vil så sætte en åben AP op og dem som benytter sig af det trådløse
> netværk, får en IP-adr. fra domænets dhcp server, og har så adgang til
> internettet.
> Hvor sikkert er det?, og hvor meget af netværket kan man få adgang
> til, uden at være medlem af domænet, kende admininistrator password
> osv.?
Nu skriver du ingen detaljer hvem brugerne er og hvordan det skal sættes
op.
Hvem skal benytte sig af det trådløse netværk?
Hvilken sikkerhed vil du anvende?
Hvis der kun er tale om medarbejdere i firmaet, så bør anvende WPA som
minimum, der authenticater brugere op mod RADIUS server. Og aldrig lukke
fremmede computere ind. Dermed er det kun brugere i domænet du har givet
adgang, der kan logge ind
Hvis der osse er tale om gæster til virksomheden, der skal anvende
netværket til internet adgang, skal du seperare det helt ud af kontor
netværket, og så må medarbejdere VPNe ind for at komme på kontor netværk.
Dette skyldes du ikke kan vide dig sikker på om fremmede maskiner har vira
og trojaner installeret, som prøver at sprede sig videre.
Desuden kan der opsnappes trafik til fingerprinting og alt efter
konfiguration af servere og domæne osse password hashes, og dermed har de
pludselig koder til brugere/servere.
--
Bjarke Andersen
| |
Lars Nielsen (31-10-2007)
| Kommentar Fra : Lars Nielsen |
Dato : 31-10-07 10:52 |
|
Det drejer sig om en offentlig instution hvor der kommer masser af gæster og
turister, og man har så besluttet at disse gæster skal have adgang til
internettet.
For at gøre det nemt for gæsterne at bruge, vil det være en fordel at det er
uden koder og kryptrering.
Efter at have læst dit indlæg, kan jeg godt se at det ikke vil være så smart
at man "se" lokalnetværket.
Et sælvstændigt netværk til det trådløse vil nok være at foretrække.
De har en adsl som kun bruges til dankort, ville det ikke være smart at
bruge den?
/Lars
"Bjarke Andersen" <bjarke.andersen@gmail.com> skrev i meddelelsen
news:Xns99DA65DDAC955bjoegdk@130.225.247.90...
> lars@ljconsulting.dk crashed Echelon writing
> news:1193817200.204784.129670@k79g2000hse.googlegroups.com:
>
>> Jeg har en kunde som gerne vil have et åbent trådløst netværk.
>> Deres netværk er et trad. Windows domæne netværk.
>
> Definer åben trådløst netværk.
>
>> Jeg vil så sætte en åben AP op og dem som benytter sig af det trådløse
>> netværk, får en IP-adr. fra domænets dhcp server, og har så adgang til
>> internettet.
>
>> Hvor sikkert er det?, og hvor meget af netværket kan man få adgang
>> til, uden at være medlem af domænet, kende admininistrator password
>> osv.?
>
> Nu skriver du ingen detaljer hvem brugerne er og hvordan det skal sættes
> op.
>
> Hvem skal benytte sig af det trådløse netværk?
> Hvilken sikkerhed vil du anvende?
>
> Hvis der kun er tale om medarbejdere i firmaet, så bør anvende WPA som
> minimum, der authenticater brugere op mod RADIUS server. Og aldrig lukke
> fremmede computere ind. Dermed er det kun brugere i domænet du har givet
> adgang, der kan logge ind
>
> Hvis der osse er tale om gæster til virksomheden, der skal anvende
> netværket til internet adgang, skal du seperare det helt ud af kontor
> netværket, og så må medarbejdere VPNe ind for at komme på kontor netværk.
>
> Dette skyldes du ikke kan vide dig sikker på om fremmede maskiner har vira
> og trojaner installeret, som prøver at sprede sig videre.
> Desuden kan der opsnappes trafik til fingerprinting og alt efter
> konfiguration af servere og domæne osse password hashes, og dermed har de
> pludselig koder til brugere/servere.
>
>
>
>
> --
> Bjarke Andersen
| |
Axel Hammerschmidt (01-11-2007)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 01-11-07 00:48 |
|
Lars Nielsen <ljn@jf-data.com> wrote:
> "Bjarke Andersen" <bjarke.andersen@gmail.com> skrev i meddelelsen
> news:Xns99DA65DDAC955bjoegdk@130.225.247.90...
> > lars@ljconsulting.dk crashed Echelon writing
> > news:1193817200.204784.129670@k79g2000hse.googlegroups.com:
> >
> >> Jeg har en kunde som gerne vil have et åbent trådløst netværk.
> >> Deres netværk er et trad. Windows domæne netværk.
> >
> > Definer åben trådløst netværk.
> >
> >> Jeg vil så sætte en åben AP op og dem som benytter sig af det trådløse
> >> netværk, får en IP-adr. fra domænets dhcp server, og har så adgang til
> >> internettet.
> >
> >> Hvor sikkert er det?, og hvor meget af netværket kan man få adgang
> >> til, uden at være medlem af domænet, kende admininistrator password
> >> osv.?
> >
> > Nu skriver du ingen detaljer hvem brugerne er og hvordan det skal sættes
> > op.
> >
> > Hvem skal benytte sig af det trådløse netværk?
> > Hvilken sikkerhed vil du anvende?
> >
> > Hvis der kun er tale om medarbejdere i firmaet, så bør anvende WPA som
> > minimum, der authenticater brugere op mod RADIUS server. Og aldrig lukke
> > fremmede computere ind. Dermed er det kun brugere i domænet du har givet
> > adgang, der kan logge ind
> >
> > Hvis der osse er tale om gæster til virksomheden, der skal anvende
> > netværket til internet adgang, skal du seperare det helt ud af kontor
> > netværket, og så må medarbejdere VPNe ind for at komme på kontor netværk.
> >
> > Dette skyldes du ikke kan vide dig sikker på om fremmede maskiner har vira
> > og trojaner installeret, som prøver at sprede sig videre.
> > Desuden kan der opsnappes trafik til fingerprinting og alt efter
> > konfiguration af servere og domæne osse password hashes, og dermed har de
> > pludselig koder til brugere/servere.
>
> Det drejer sig om en offentlig instution hvor der kommer masser af gæster og
> turister, og man har så besluttet at disse gæster skal have adgang til
> internettet.
>
> For at gøre det nemt for gæsterne at bruge, vil det være en fordel at det er
> uden koder og kryptrering.
>
> Efter at have læst dit indlæg, kan jeg godt se at det ikke vil være så smart
> at man "se" lokalnetværket.
>
> Et sælvstændigt netværk til det trådløse vil nok være at foretrække.
> De har en adsl som kun bruges til dankort, ville det ikke være smart at
> bruge den?
Er det korrekt forstået, at du er den samme "Lars"?
Jeg har noget der ligner det du kan bruge med en nødvendige sikkerhed,
men i meget mindre målestok. Det er ret simpelt.
Min ISP (TDC) uddeler op til to offentlige ip-adresser på det ab (ADSL)
jeg har. Jeg har så sat en switch op lige efter mit ADSL modem og
forbundet den med kabel til to NAT routers. Den ene router er så
forbundet til en AP, der lige så godt kunne være åben. Den anden router
er forbundet til mit LAN.
Skulle jeg ønske at give nogen adgang til den AP, der er forbundet til
den ene NAT router får de internet adgang, men de får derved ikke adgang
til mit LAN selv om vi bruger samme ADSL modem.
Så kan "dankort" adsl forbindelsen få tildelt flere end den ene
offentlige ip-adresse fra ISPen skal du bare bruge en switch, en router
(eller måske to, hvis der ikke er een der i forvejen - for at holde
trafikken adskilt) og en AP.
--
"Well, opinions are like assholes. Everybody has one."
| |
Michael Rasmussen (31-10-2007)
| Kommentar Fra : Michael Rasmussen |
Dato : 31-10-07 10:19 |
|
On 31 Oct 2007 09:00:49 GMT
Bjarke Andersen <bjarke.andersen@gmail.com> wrote:
> Hvis der osse er tale om gæster til virksomheden, der skal anvende
> netværket til internet adgang, skal du seperare det helt ud af kontor
> netværket, og så må medarbejdere VPNe ind for at komme på kontor
> netværk.
>
Har de fleste moderne professionelle AP ikke mulighed for VLAN idag?
VLAN_employees: Følg anvisninger for Bjarke.
VLAN_guests: Dette VLAN bør separeres fra det interne net, og have
tilknyttet meget strenge anvendelsesregler - alle porte ind lukket og
åbnes kun, hvis de er relateret til en igangværende session. Port 25
bør altid være lukket ind og ud.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.
| |
|
|