TDC Work Godt i gang guide Marts 2011
Indhold 1. Velkommen til TDC Work 3 2. Udvidet service 5 3. Sådan kommer du i gang 5 3.1 Det tekniske udstyr, bl.a. router og skillefilter, skal installeres 5 3.2 Bredbåndsforbindelsen og adgang til virksomhedens netværk skal etableres 6 3.3 Trådløs forbindelse kan etableres mellem din pc og router 7 3.4 Tjek at alting virker 7 3.5 Sådan anvender du TDC PC-Sikkerhed 7 4. Tekniske specifikationer 8 4.1 Specifikationer på standardrouteren 8 4.2 Forudsætninger for installation 9 4.3 Ip-adresser 9 4.4 Trådløs funktion 10 4.5 Sikkerhed 11 4.6 Indgående applikationer med standardrouter 12 4.7 Udgående applikationer med standardrouter 13 4.8 DHCP-opsætning vedr. internet for lokalnettet på standardrouter 14 4.9 Opsætning af egne servere på standardrouter 14 4.10 Reverse DNS lookup 16 4.11 VPN MPLS ekstrakanalen 17 2
1. Velkommen til TDC Work Tillykke med din nye bredbåndsløsning, som vi håber du og din husstand får stor glæde af. Du har fået TDC Work i kombination med enten: TDC HomeTrio internet, ip-telefoni og tv TDC HomeDuo internet og ip-telefoni TDC Bredbånd internet Du har nu en sikker adgang til din virksomheds netværk hjemmefra, hvis du har valgt at få Work med MPLS. Samtidig har du og din familie direkte adgang til alle de private funktioner, som I har brug for. Du kan læse mere om, hvad du får med TDC HomeTrio, TDC HomeDuo eller TDC Bredbånd på tdc.dk. Du skal være opmærksom på, at med løsningerne TDC HomeDuo og TDC HomeTrio leverer TDC normalt en TDC HomeBox. Det kan dog også ske, at TDC leverer en router af typen Netopia i stedet for TDC HomeBox, hvis der er specielle ønsker til opsætning. Denne brochure beskriver, hvad du får med TDC Work. TDC Work inkluderer som minimum altid følgende: Adgang til lukket virksomhedsnetværk Vi sørger for, at du fra din privatadresse kan kommunikere sikkert med din virksomhed over internettet i et lukket netværk, hvis du har valgt Work med MPLS. Derudover kan du og resten af din husstand også få adgang til internettet i en adskilt del af forbindelsen, der går uden om din virksomheds lokalnet. Router med fast ip-adresse og trådløs adgang Routeren leveres med fast ip-adresse og er klargjort til trådløs funktionalitet. Det betyder, at både du og resten af husstanden kan komme internettet, uden at pc en skal være tilsluttet med et kabel til routeren dvs. du kan både komme trådløst på, når du skal på virksomhedens lokalnetværk og trådløst på, når du eller resten af familien vil trådløst på internettet. Den trådløse adgang er altid krypteret og dermed sikret, så uvedkommende ikke kan koble sig på din bredbåndsforbindelse. Ønsker du ikke at benytte trådløs opsætning, kan du fravælge dette ved bestilling. Firewall En firewall i routeren sikrer dig mod uautoriseret adgang til dine data. Din firewall er sat op ud fra de behov, du oplyste ved bestilling, bl.a. om husstanden har inter ne servere eller ej. TDC PC-Sikkerhed (5 brugere) Her har du en sikkerhedsklient, som du kan installere på op til 5 pc er. Pakken 3
indeholder: Antivirus. Forhindrer at dine pc er inficeres med virus og spyware Firewall. Beskytter mod hackere, trojanere og netværksorme Spamkontrol. Frasorterer spam Forældrekontrol. Sikrer dine børn mod uønsket indhold på internettet Automatisk og hurtig opdatering. Beskytter straks når nye sikkerhedstrusler er opdaget Servicepakke Hverdage 8-16 på fastnet, bredbånd og router Reaktionstid ved fejl: 3 arbejdstimer ved Major fejl og 8 arbejdstimer ved Minor fejl. Maksimum fejlafhjælpningstid: 1 arbejdsdag ved Major fejl og 2 arbejdsdage ved Minor fejl. Major fejl betyder, at løsningen er afbrudt eller kvalitetsmæssigt så forringet, at du er afskåret fra brug af de mest basale funktionaliteter i løsningen. Minor fejl betyder, at du oplever forringet kvalitet eller en begrænsning i tilgængeligheden af udbudte funktionaliteter. Kabelfejl definerer TDC altid som en Minor fejl. Erhvervssupport Har du spørgsmål til din løsning, kan du ringe på 80 80 80 90. Mandag - fredag kl. 8.00 til 20.00 Weekend kl. 10.00 til 18.00 Helligdage kl. 10.00 til 16.00 Du kan fejlmelde din løsning hos Erhvervssupport hele døgnet. Fejlretning sker i henhold til den servicepakke, du har tegnet. Der ydes ikke hjælp til opsætning af eget udstyr på forbindelsen. Information om problemer i nettet eller planlagt systemarbejde kan findes her: kundeservice.tdc.dk/erhverv/driftsinformation. 4
2. Udvidet service Hvis du køber udvidet service, skal du have den samme pakke på både telefoni, router og bredbånd, så hele løsningen er dækket ind. Definitionen på servicepakkerne er: Servicepakke Hverdage Hverdage Alle dage Alle dage 8-16 8-20 8-22 00-24 Ugedage Ma.-fr. Ma.-fr. Ma.-sø. Ma.-sø. Periode 8-16 8-20 8-22 0-24 Reaktion Major fejl 3 timer 1 time 1 time 30 minutter Reaktion Minor fejl 8 timer 4 timer 4 timer 2 timer Max fejlafhjælp.tid Major 1 arb.dag 10 timer 8 timer 4 timer Max fejlafhjælp.tid Minor 2 arb.dage 1 arb.dag 1 arb.dag 1 arb.dag Muligheder for udvidet service. Hverdage 8-16 er inkluderet. 3. Sådan kommer du i gang I det følgende finder du en beskrivelse af, hvordan du aktiverer de forskellige elementer i din TDC Work. I beskrivelsen henvises der til en brugervejledning for routeren denne har du ikke modtaget endnu. Brugervejledningen ligger sammen med din router, som du får tilsendt med posten eller udleveret af vores tekniker på installationsdagen. Det afhænger af den valgte installationsform. Breve med ip-adresser Du kan modtage to breve med en række ip-adresser inden installationsdatoen et brev vedr. ip-adressen til dit lukkede netværk (MPLS) og et brev vedr. ip-adressen til internettet. Brevene sendes til brugeradressen, via en e-mail til en adresse bestemt af dig eller begge dele. Du kan også vælge ikke at få tilsendt ip-brevene. Du bestemmer dette ved selve bestillingen. Informationen i brevene er kun relevant for dig, hvis du skal have en printer eller server på mpls-netværket eller, hvis du har et domænenavn, som skal pege ind på din egen server. I alle andre tilfælde kan du blot se bort fra brevene. For at komme i gang med din TDC Work skal du igennem følgende trin: 3.1 Det tekniske udstyr, bl.a. router og skillefilter, skal installeres Der findes to forskellige installationsformer, Godt I Gang og Gør Det Selv. Det fremgår af din ordrebekræftelse, hvilken installationsform der er valgt. Begge installationsformer og krav hertil er detaljeret beskrevet i afsnittet Tekniske specifikationer/installationsformer i denne brochure. 5
Eksisterende bredbåndskunde hos TDC? Er du eksisterende bredbåndskunde hos TDC, og har du skiftet til TDC Work, er det muligt, at du skal have installeret en ny router. Det vil fremgå af din ordrebekræftelse, hvis du skal have udskiftet din router. Vær opmærksom på, at der på dagen for den nye installation vil ske en kortvarig afbrydelse af din bredbåndsforbindelse. For dig, som har købt en Godt I Gang -installation Har du valgt en Godt I Gang -installation, får du besøg af en tekniker på den dato, der er skrevet i din ordrebekræftelse. Teknikeren medbringer blandt andet trådløs router, sætter al udstyret op og tester linjen. Teknikeren installerer også trådløs adgang på én pc. TDC s standardrouter har indbygget modem. Der skal være 230 V strøm tilgængelig på det sted, hvor bredbåndsforbindelsen skal installeres. For dig, som har købt PC installation Har du valgt PC Installation (tillægsprodukt til Godt I Gang ), konfigurerer TDC s tekniker én pc til anvendelse af forbindelsen og foretager onlineregistrering samt opsætning af e-mail-konto, hvis du ønsker det. For dig, som har købt en Gør Det Selv -installation Har du valgt en Gør Det Selv -installation, sender vi evt. skillefilter og trådløs router med posten, hvorefter du selv installerer udstyret ud fra den medfølgende brugervejledning. Har du brug for tekniske specifikationer om routeren, inden du modtager den, fremgår de også af afsnittet Tekniske specifikationer/specifikationer på standardrouteren i denne brochure. Routerens firewall er allerede sat op af TDC, så her skal du intet foretage dig selv. 3.2 Bredbåndsforbindelsen og adgang til virksomhedens netværk skal etableres Med TDC Work med MPLS får du adgang til internettet og virksomhedens netværk i en og samme forbindelse. Dette betyder, at du enten kan få adgang til både virksomheds netværket (VPN MPLS) og internettet fra samme pc, samt sikker adgang til kun internettet fra anden pc (f.eks. med routerprofil 7). Eller du kan få adgang til kun internettet fra én pc samt adgang til virksomhedsnetværket (VPN MPLS) fra en anden pc (f.eks. med routerprofil 3). Du kan se på din ordrebekræftelse, hvilken routerprofil, der er bestilt. Kommunikation mellem pc og router Når det tekniske udstyr er blevet installeret, skal pc erne (dvs. både din arbejds-pc og hjemme-pc) nu gøres klar til at kommunikere med routeren. Vejledning til dette finder du i afsnittet Opsætning til Windows i routerens brugervejledning. Afsnittet forklarer, hvordan pc erne sættes op til automatisk at hente ip-adresser og navneserveradresser (DHCP). 6
Pc ernes forbindelse til internettet Når kommunikationen mellem pc og router er etableret, skal pc erne sættes op til at oprette forbindelse til internettet. Vejledning til dette finder du i afsnittet Opsætning af browser i routerens brugervejledning. Adgang til virksomhedsnetværk Du skal intet foretage dig for at få adgang til virksomhedens netværk. Når det tekniske udstyr er installeret, og pc erne er sat op, er der oprettet adgang til virksomhedens netværk. Du kan nu få adgang til de samme filer og mails, som hvis du sad fysisk på din arbejdsplads. 3.3 Trådløs forbindelse kan etableres mellem din pc og router Det er valgfrit, om du vil etablere den trådløse forbindelse mellem din router og pc. Afsnittet Trådløs forbindelse fra TDC HomeBox til pc/opsætning af den trådløse adgang i routerens brugervejledning beskriver, hvordan du aktiverer den trådløse adgang. I den forbindelse skal du bla. anvende dette link til TDC s selvbetjeningsunivers: tdc.dk/tts, hvor du kan hente dine trådløse konfigurationsoplysninger. Af din ordrebekræftelse under Din ordre omfatter fremgår det, om du har valgt WEPeller WPA-kryptering til sikring af den trådløse forbindelse. Bemærk, at kablet fra routeren skal tilsluttes pc en, mens du aktiverer den trådløse forbindelse, og at man i nogle tilfælde skal fjerne kablet igen, før den trådløse forbindelse virker. Du bør også være opmærksom på, at den trådløse rækkevidde er begrænset til ca.30 meter indendørs (dog kortere ved jern-/betonmure). Du kan læse mere om installation af trådløs forbindelse i afsnittet Tekniske specifikationer/trådløs funktion i denne brochure. 3.4 Tjek at alting virker Afsnittet Kontrol af status/fejlsøgning i routerens brugervejledning beskriver, hvordan du kontrollerer tilslutningen af routeren, om denne har forbindelse til internettet, og om Windows er sat korrekt op. 3.5 Sådan anvender du TDC PC-Sikkerhed TDC PC-Sikkerhed skal du installere på pc erne. Du henter sikkerhedsprogrammet ved at gå ind på tdc.dk/pc-sikkerhed. Her følger du disse trin: 1. Klik på menupunktet Download TDC PC-Sikkerhed 2. Vælg download af licensversion 3. Gem på dit skrivebord 4. Installer programmet ved at dobbeltklikke på ikonet på skrivebordet 5. Vælg Kør og følg guiden Abonnementsnøglen, som du skal bruge under installationen, finder du på din ordrebekræftelse. Du anvender samme licensnøgle på alle dine pc er. 7
4. Tekniske specifikationer I dette afsnit finder du uddybende tekniske specifikationer, primært beregnet til netværksadministratorer eller til dem, der bistår virksomheden med opsætning og konfiguration af lokalnetværket. TDC garanterer, at standardrouteren som minimum har nedenstående funktionaliteter. TDC forbeholder sig ret til at bytte en defekt router med en anden router, der opfylder samme funktionaliteter. 4.1 Specifikationer på standardrouteren De angivne specifikationer er generelle minimumsspecifikationer. Teknisk specifikation for standardrouteren fremgår af brugervejledningen, der følger med routeren. En WAN-port 10/100 Mbit på RJ-11-stik Fire LAN-Ethernet-porte med 10/100 Mbit på RJ-45-stik En WAN-ip-adresse. En DHCP-tildelt fast ip-adresse på WAN-siden Routning af ip-pakker mellem virksomhedens lokalnet og TDC s ip-net Private ip-adresser på LAN-siden iht. RFC 1918 Der er etableret NAT (Network Address Translation) og PAT (Port Address Translation) mellem LAN- og WAN-interfacene DHCP-server er etableret i routeren på LAN-interface Ændring af routerens konfiguration foretages af TDC via et managementsystem mod betaling Strømforbrug for ADSL forbindelser: Forbrug maks. 8,65 Watt (med Trådløs og fire switchporte aktive) Slukket maks. 0,29 Watt (overholder EU Code of Conduct november 2008). Ved VDSL forbindelser: Max. 10 Watt Der tildeles ikke officielle ip-adresser på routerens LAN-side Der tildeles ikke yderligere officielle ip-adresser på WAN-siden Specifikationer på trådløs forbindelse Maks. antal brugere: 127 Transmissionshastighed: Minimum op til 54 Mbit (Wi-Fi 802.11b og 802.11g) og visse routere understøtter også 802.11n (op til 300 Mbit) Rækkevidde: Afhængigt af de lokale forhold er rækkevidden op til ca. 30 meter. Men hvis der findes andre enheder, der bruger trådløs kommunikation, og hvis der er dæmpende materialer i bygningerne mellem modtager og afsender, så kan de være kortere rækkevidde. I ekstreme tilfælde kan udefra kommende støj eller meget dæmpende materialer betyde, at det ikke er muligt at få det trådløse til at fungere. Under ideelle forhold kan du opnå følgende hastigheder på en trådløs lokal forbindelse: 802.11b forbundet med 11 Mbit - maksimum hastighed 4-5 Mbit 802.11g forbundet med 54 Mbit - maksimum hastighed 20-22 Mbit 802.11n forbundet med 130 Mbit - maksimum hastighed 60-65 Mbit 8
4.2 Forudsætninger for installation Krav til installation med standardrouter Accesforbindelse: almindeligt fastnet-(pstn)/basislinje- eller ISDN-abonnement. Efter 1. januar 2011 ingen nye bredbånd på ISDN. Stik: et stik med 230 V til router Maks. 100 meter mellem router og netværksudstyr (Ethernet) Hub/switch eller pc med twisted pair-ethernet, 10Base-T eller 10/100Base-T Hvis der bruges hub/switch, skal der være en ledig port til at tilslutte routeren Programmel (ip-software, browser, mailklient mv.) til relevante maskiner Luftfugtighed: 20 % - 80 %, ikke kondenserende Driftstemperatur: +10 C til +40 C. Driftstemperaturer over +40 C kan beskadige routeren. Placer routeren frit med god ventilation (ikke oven på andet varmt it-udstyr) Installation af trådløs forbindelse Trådløst udstyr installeres af brugeren selv ud fra den medfølgende brugervej ledning til routeren. Hvis bredbåndsforbindelsen leveres som Godt I Gang -installation med evt. PC Installation, installerer teknikeren også trådløs adgang på én pc, hvis du ønsker det. Har brugeren allerede modtaget og anvendt routeren skal denne først slukkes og tændes igen. Herefter anvendes oplysninger om netværksnavn (SSID), krypteringsform samt netværks nøgle (krypteringsnøgle). Læs mere op opsætning af den trådløse forbindelse i afsnittet Tekniske specifikationer/ Trådløs funktion i denne brochure. 4.3 Ip-adresser På TDC Work løsninger tildeles som beskrevet i afsnittet Tekniske specifikationer/ Specifikationer for standardrouteren automatisk en DHCP-tildelt fast WAN-ip-adresse til routerens WAN-port. Oplysninger om ip-adresser og subnet-maske fremgår af oprettelsesbrevet Ip-brev information vedr. internettilslutning. Dette sendes direkte til brugeradressen, til en selvvalgt e-mail adresse, begge steder eller sendes ikke, hvis det er fravalgt ved bestillingen. Ip-adresser til internetadgang på LAN-siden af routeren er tildelt efter standarden RFC 1918 (DHCP). Adresserne vil være i adresseområdet 192.168.1.6 til 192.168.1.100. Adresserne 192.168.1.101-192.168.1.254 kan bruges som statiske adresser. 9
4.4 Trådløs funktion Den trådløse funktion kan leveres til bredbåndsforbindelser med standardrouter (Netopia eller TDC HomeBox). Den trådløse funktion leveres via et indbygget accespunkt i standardrouteren. Det trådløse udstyr får sin ip-adresse via DHCP. Hvis DHCP-serveren i standardrouteren er slået fra, kan den trådløse funktion ikke fungere. Routeren tildeler en ledig ip-adresse (i den normale standardkonfiguration er det i området 192.168.1.6 til 192.168.1.100). Trådløs bygger på 802.11g-standarden (op til 54 Mbit), der også understøtter 802.11b (op til 11 Mbit). Nogle routere understøtter også 802.11n (300 Mbit). Trådløs funktion leveres som standard med broadcast af netværksnavn, hvilket betyder, at den trådløse adgang gør opmærksom på sin tilstedeværelse og vil kunne ses, men ikke anvendes af andre pc er. Dette kan slås til og fra i TDC s Selvbetjenings univers. Trådløsfunktionen leveres som standard med kryptering. Mulige krypteringsformer er WPA2, WPA eller WEB. WPA2 supporterer både TKIP og AES. Som standard leverer TDC krypteringsformen WPA (WPA2 eller WPA -styres af det tilsluttede udstyr) med PSK (PreShared Key). TDC leverer krypteringsnøglen (password). WPA-krypteringen (WI-FI-Protected Access) bruger en 128-bit nøgle, som anvender en dynamisk nøgleudvekslingsmetode (AES eller TKIP), som er langt kraftigere end den, der anvendes ved krypteringsformen WEP. Ved WPA kryptering skifter krypteringsnøglen dynamisk under kommunikationen, hvilket fjerner risikoen for at aflure krypteringsnøglen. Herudover giver teknologien mulighed for yderligere beskyttelse ved at kræve brugernavn og password fra den person, der forsøger at få adgang til netværket. Dermed er det ikke længere nok blot at skaffe sig adgang til pc en for at misbruge den trådløse forbindelse. Hvis krypteringsnøglen aflures, er der åbnet for misbrug af virksomhedens forbindelse og hermed for afluring af fortrolige data samt misbrug af pc er og servere på virksomhedens netværk. Hvis det ønskes, kan den trådløse funktion også understøtte WEP-kryptering (Wired Equivalent Privacy) med 128-bit nøgle. Den krypterer al kommunikation mellem pc og det trådløse udstyr og kræver, at de to parter er enige om en statisk digital nøgle svarende til et langt password. Autentificeringen sker også her ved hjælp af en krypteringsnøgle. Nøglen skiftes ikke under forløbet og kan derfor beregnes, når der er opsamlet en tilstrækkelig mængde data. 64-bit nøgler understøttes ikke, da sikkerheden ikke er tilstrækkelig god. Bemærk, at ældre trådløst udstyr i mange tilfælde skal opdateres med ny firmware, og at der skal hentes nye drivere hos leverandøren for at få support til 128-bit krypteringsnøgler. 10
Det er kun muligt at vælge krypteringsformen WEP på enten adgangen til internettet eller til MPLS-forbindelsen. Ændringer til den trådløse opsætning Det trådløse udstyr konfigureres i installationsforløbet centralt af TDC. Herefter er opsætningen registreret hos TDC og kan genskabes, når det er relevant. Efter installationen kan der opstå behov for at ændre nogle af de trådløse parametre. Virksomheden har mulighed for at fastsætte/ændre følgende parametre: netværksnavn (SSID), broadcast (fra/til), krypteringsform (WEP/WPA), krypteringsnøgle og kanalvalg. TDC tilbyder to former for administration, når de trådløse parametre skal ændres: TDC-administreret (alle ændringer foretages af TDC) Brugeradministreret (ændringer foretages af bruger via TDC s selvbetjeningsunivers. Find mere information om dette på tdc.dk/pcvejl 4.5 Sikkerhed På standardrouteren er der opsat de sædvanlige anti-spoofing-filtre, dvs. mod 127/8, 255/8 og 0/8 samt 192.168.1.0/24. Anti-spoofing-filter sikrer, at en ekstern hacker ikke kan forfalske afsenderinformation (spoofing), så routeren tror, at data, der kommer ind udefra, er intern trafik. Det er virksomhedens ansvar, at egen mailserver ikke står som open relay, hvorved eksterne kan misbruge mailserveren til at sende spam (reklame-e-mails). Hvis mailserveren ved en fejl alligevel står som open relay og misbruges, forbeholder TDC sig ret til at lukke virksomhedens forbindelse, hvis problemet ikke er løst inden for en rimelig frist. Den normale måde at forhindre den slags problemer på er at konfigurere mailserveren til de ip-adresser, der må anvende mailserveren. TDC kan teste, om en mailserver står som open relay. Send en e-mail til csirt@csirt.dk med oplysninger om mailserverens ip-adresse og hostnavn og den e-mail-adresse, som svaret skal sendes til. Så får du i løbet af kort tid svar på, om mailserveren kan anvendes til at videresende e-mails. Firewall til standardrouter Til standardrouteren hører en standardfirewall, som omfatter implementering af nedenstående sikkerhedspolitik: Der er adgang til interne mailgateways/-servere fra internettet Der er ingen adgang til øvrige interne net og systemer fra internettet Følgende trafik tillades fra det interne net og ud mod internettet: Alle enkeltkanal-tcp-sessioner (f.eks. telnet, POP3) Alle enkeltkanal-udp-sessioner (f.eks. DNS) CU-SeeMe (White Pine-version) FTP (tillader ikke trevejs-ftp-transfer. Datakanalport skal være mellem 1024 og 65535) H.323 (NetMeeting, ProShare) UNIX R-kommandoer (rlog-in, rexec, rsh) 11
RealAudio SMTP (tilladte kommandoer: data, ehlo, expn, helo, help, mail, noop, quit, rcpt, rset, saml, send, soml, vrfy. Anvendelse af ikke-tilladte SMTP-kommandoer resulterer i, at FW resetter forbindelsen) SQL*Net Streamworks TFTP VDOLive Sikkerhedsløsningen omfatter implementering af ét lokalt netsegment. Løsningstyper for firewallprofiler Sikkerhedsløsningen kan leveres i fire forskellige standardudgaver: Mulighed for egen intern mailserver (Firewallkonfiguration 1) Mulighed for egen intern mailserver, webserver, FTP-server samt DNS-server (Firewallkonfiguration 2) Ingen mulighed for egne interne servere (Firewallkonfiguration 3) Åben adgang (DMZ) (Firewallkonfiguration 4) Løsningen tager udgangspunkt i den standardrouterkonfiguration, er er beskrevet i dette dokument. Firewallen udfører Stateful Packet Inspection. Ændringer i standardfirewallløsningen kan foretages af TDC mod betaling. 4.6 Indgående applikationer med standardrouter Portene UDP 161 og TCP 23 (telnet) anvendes af TDC til at programmere routeren. Der er opsat filtre i routeren, der sikrer, at det kun er TDC s Servicecenter, der kan komme i forbindelse med routeren. Der er som standard filter på port 25 (SMTP) og port 119 (NNTP). Filtrene er opsat af sikkerhedshensyn. Formålet er at forhindre spam og misbrug af virksomhedens pc. TDC forbeholder sig ret til at introducere yderligere filtre, eksempelvis i forbindelse med omfattende virus- og ormeangreb. TDC anbefaler, at filteret fjernes, når virksomheden selv har sin egen mailserver. Angreb mod port 25 kan kun gennemføres, hvis der er tilsluttet en mailserver som beskrevet i afsnittet Tekniske specifikationer/opsætning af egne servere på standardrouter,og mailserveren ikke er korrekt konfigureretog beskyttet, se afsnittet Tekniskespecifikationer/Sikkerhed. TDC anbefaler, at filteret opretholdes i forbindelsemed hjemmearbejdspladser. Ved bestilling kan filteret fjernes uden gebyr. Der opkræves håndteringsgebyr ved senere fjernelse/genetablering af filteret. 12
TDC forbeholder sig ret til at etablere filteret på tilslutninger, der misbruges på grund af utilstrækkelige sikkerhedsforanstaltninger. WAN-interfacet svarer på Ping (ICMP echo request). Alt efter løsningstypen på standardrouterens firewall vil der være åbent for en del mængde af følgende applikationer: FTP-filserver (File Transfer Protocol) (port21 tcp) SMTP-mailserver (Simple Mail TransportProtocol) (port 25 tcp), POP3 (port 110tcp) HTTP Webserver (Hyper Text TransportProtocol) (port 80 tcp) HTTPS Secure Webserver (Hyper TextTransport Protocol Secure) (port 443 tcp) DNS-navneserver (Domain Name System)(port 53 udp og tcp)det er muligt at åbne for flere indgåendeapplikationer. På standardrouteren fordeles trafikken til følgende interne ip-adresser: 192.168.1.1 Routerens LAN-interface 192.168.1.2 Mailserver 192.168.1.3 Webserver og Secure Webserver 192.168.1.4 FTP-server og DNS-server 192.168.1.5 Reserveret til Homedisk 192.168.1.6 til 192.168.1.100 tildeles dynamisk af DHCP-serveren, der sidder i routeren 192.168.1.101 til 192.168.1.254 kan anvendes til pc er, der skal have en fast LAN ip-adresse 4.7 Udgående applikationer med standardrouter På forbindelser med standardrouter er der åbent for alle udgående applikationer (porte). Således virker følgende applikationer: WWW/web/HTTP FTP Navneforespørgsler News Whois SMTP POP3 NTP (Network Time Protocol) Der kan være begrænsninger for maskiner tilsluttet lokalnetinterfacet. En række applikationer vil ikke kunne fungere korrekt, hvis de anvendes fra en maskine tilsluttet lokalnetinterfacet, bl.a.: NetMeeting og andre applikationer, der bruger H.323-standarden ICQ (modtagelse af filer) samt alle andre applikationer, der ikke er kompatible med NAT/PAT Følgende applikationer er reserveret til TDC på WAN-interfacet: SNMP (Simple Network Management Protocol) Telnet 13
4.8 DHCP-opsætning vedr. internet for lokalnettet på standardrouter DHCP-serveren i routeren forenkler ipopsætningen af pc er på lokalnettet. Hver enkelt pc (undtagen servere) konfigureres til at hente en ip-adresse automatisk. Når en bruger tænder sin pc, får pc en følgende information: Ip-adresse, der ligger i områder 192.168.1.6 til 192.168.1.100 Undernetmaske (subnetmaske) 255.255.255.0 Default gateway 192.168.1.1 Navneserver (1) 194.239.134.83 (ns3.tele.dk) Navneserver (2) 193.162.153.164 (ns3.inet.tele.dk) TDC forbeholder sig ret til at anvende andre navneservere. 4.9 Opsætning af egne servere på standardrouter Der kan enten opsættes flere fysiske servere med hver sin ip-adresse og serverapplikation eller alternativt én fysisk server med flere ip-adresser og serverapplikationer. Hvis én fysisk server skal håndtere flere serverapplikationer, kan der anvendes følgende løsning, der ikke kræver ændring af standardkonfigurationen: I Windows NT 4.0, Windows 2000, Windows XP og i Linux er løsningen at tildele serverens fysiske netværkskort flere ip-adresser (192.168.1.2, 192.168.1.3 samt 192.168.1.4). I Windows 95/98 og ME er det ikke muligt at tildele flere ip-adresser til samme netværkskort ved hjælp af kontrolpanelet. Ændringen kan dog udføres ved at rette i registreringsdatabasen. Dette er beskrevet i dokumentet Q156772 i Microsoft Knowledge Base. Software til nedenstående serverapplikationer kan købes gennem en pc-leverandør, eller der kan downloades freeware- eller sharewareprogrammer fra Tucows: tucows.tdconline.dk. Navneserver Virksomhedens navneserver skal have ip-adressen 192.168.1.4, subnetmaske 255.255.255.0 og default gateway192.168.1.1 og lytte på TCP-port 53 (DNS). Du kan ikke opsætte mere end én navneserver. 14
Da DK Hostmaster kræver minimum to navneservere pr. aktivt domæne, skal der etableres en sekundær navneserver, f.eks. hos TDC. Navneserveren skal have et navn, f.eks. ns.firmanavn.dk. Desuden skal navneserveren pege på routerens WANip-adresse. Indgående mailserver Virksomhedens mailserver skal have ip-adressen 192.168.1.2, subnetmaske 255.255.255.0 og default gateway192.168.1.1 og lytte på TCP-port 25 (SMTP). For de domæner, den skal modtage post fra, skal der opsættes en MX-record, der peger på den tildelte WAN-ip-adresse. Adressen står i oprettelsesbrevet. Nedenstående skal kun udføres, hvis filteret mod port 25 ikke er bestilt fjernet. Virksomheden skal konfigurere MX-records for sit domænenavn, således at virksomhedens DHCP-tildelte faste ip-adresse står som MX-record med højeste prioritet (eksempelvis 10). Virksomheden skal dernæst bede sin DNS-leverandør om at sætte backup-mx.post.tele.dk ind som MX-record med en lavere prioritet (eksempelvis 20). I scenariet, hvor man udefra modtager en mail, vil afsenderen først forsøge at aflevere direkte til virksomhedens DHCP-tildelte faste ip-adresse (højestemx-prioritet), men mailen bliver blokeret i filteret. Blokeringen foregår ved, at routeren melder tilbage med meddelelsen ICMP destination port unreachable. Alt afhængigt af afsenderens implementering vil den straks fortsætte til den maskine, der står med næsthøjeste prioritet, alternativt prøve igen nogle gange, hvorefter den vælger maskinen, der står med næsthøjeste prioritet - backup-mx.post.tele.dk. Backup-mx.post.tele.dk modtager mailen, og da der er lukket op i filteret for denne maskine, vil den straks forsøge at videresende mailen til den MX-record, der har højeste prioritet, og have succes med det, hvis virksomhedens mailserver svarer. Princippet i konfigurationen er illustreret herunder: Mailafsender Router (filter) Virksomhedens server 1. Højeste prioritet MX 3. Mail afleveres 2. Næsthøjeste prioritet MX Back-up - mx.post.tele.dk Eksempel på navneserver record for domænet firmanavn.dk: MX 10 mail.firmanavn. dkmx 20 backup-mx.post.tele.dk mail.firmanavn.dk <DHCP-tildelt fast ip-adresse>. 15
Backup-mx.post.tele.dk er konfigureret således, at den kun kan relaye ud for højere prioriterede MX records, der svarer til ip-adresser inden for TDC s ip-adressepuljer. Udgående mailserver Når du vil sende mail, skal du sende igennem den mailserver, hvor domænet er hostet. Har du egen mailserver, skal du huske følgende Send en e-mail til hostmaster@tele.dk for at få oprettet reverse DNS. E-mailen skal indeholde kontaktinformation, TTL, ip-adressen på mailserveren og navn på mailserveren f.eks. mail.firmanavn.dk. TTL (time to live) for dette navn skal være mindst 43200 sek. Der oprettes/ændres MX-record for mail. firmanavn.dk, så den har en TTL, der er mindst 43200 sek. Navnet skal være samme navn som rdns for ip-adressen. Altså f.eks mail.firmanavn.dk. Der oprettes/ændres A-record for mail. firmanavn.dk, så den har en TTL, der er indstillet til 43200 sek. Webserver og Secure webserver Virksomhedens webserver skal have ip-adressen 192.168.1.3, subnetmaske 255.255.255.0 og default gateway 192.168.1.1 og lytte på TCP-port 80 (http) og 443 (https). Det er ikke muligt at få adgang til andre porte, medmindre der foretages ændringer i standardkonfigurationen. Udefra vil webserveren optræde med routerens officielle ip-adresse, som fremgår af oprettelsesbrevet. Denne adresse skal sættes ind i de relevante domæner. FTP-server Virksomhedens FTP-server skal have ip-adressen 192.168.1.4, subnetmaske 255.255.255.0 og default gateway 192.168.1.1 og lytte på TCP-port 21 (FTP control). Navnet på FTP-serveren, f.eks ftp. firmanavn.dk, skal pege på routerens WAN ip- adresse i zonefilen for domænenavnet. 4.10 Reverse DNS lookup Reverse DNS lookup (PTR record) for virksomhedens ip-adresse er indstillet af TDC. Navnet er entydigt, dvs. alle ip-adresser har deres eget navn. Dette gælder for alle virksomheder, der kun har fået tildelt én officiel ip-adresse. Virksomheder med egne servere kan få ændret reverse DNS, se mere under afsnittet Tekniske specifikationer/opsætning af egne servere på standardrouter. 16
4.11 VPN MPLS ekstrakanalen Ekstrakanalen på ExtraBase/Multibase med VPN MPLS får som udgangspunkt tildelt ip-adresser som en del af oprettelsesprocessen. Eneste forudsætning er, at range for WAN-hhv. LAN-adresser er aftalt med TDC i forbindelse med bestillingen. Som WAN-adresse tildeles der en /30 adresse i det interval, der er aftalt for WANadresser. Som LAN-adresse tildeles en /24 adresse i det interval, der er aftalt for LAN-adresser. Det kan aftales, at antallet af LAN-adresser er mindre end /24, idet alle værdier i intervallet /24-/30 er mulige. Der kan også aftales en række fælles parametre for standardrouteren. Det drejer sig om parametrene: DNS server, WINS server, DHCP relay, TFTP server, NTP server, RADIUS server, secret og port, samt SNMP server, Domain Name samt Direct broadcast. Standardrouteren behandler de tildelte LAN-adresser således: Adresserne i intervallet x.x.x.100-x.x.x.200 tildeles ved hjælp af DHCP. Adresserne x.x.x.2-x.x.x.99 samt x.x.x.201-x.x.x.254 kan af brugeren tildeles statisk. Hvis der er tildelt færre LANadresser (/25 til /28) vil de første 6 ip-adresser i intervallet være til brug for statiske ip-adresser, og resten vil blive tildelt med DHCP. For /29 gælder, at det er de 3 første ip-adresser der kan bruges til statisk og de 3 sidste tildeles med DHCP. For /30 gælder, at den første er til statisk ip-adresse og den anden tildeles med DHCP. Det kan også aftales, at ekstrakanalen tildeles specifikke adresser -manuelt tildelte ip-adresser (tilkøb). Det er samtidig muligt at aftale første og sidste adresse, der uddeles med DHCP. Det gælder kun, hvis det i aftalen vedr. fælles parametre for standardroutere, er forudsat, at der ikke benyttes DHCP relay. VPN MPLS ekstrakanalen kan gøres tilgængelig trådløst, hvis det ønskes. Forhold vedr. SSID, kryptering m.v. samt selvbetjening via TTS er helt som beskrevet i afsnit 4.4. Dog er det ikke muligt at aktivere broadcast af SSID på alle standardroutere. Hvis der er behov for yderligere sikring af den trådløse adgang, kan TDC også levere trådløs med brugervalidering (802.1x): Kryptering (EAP-TLS eller EAP-PEAP). Det forudsætter, at virksomheden har en RADIUS server, der varetager login proceduren. 17
Kontakt os TDC A/S, København, CVR 14773908 Communication/SP, 7137-1111 Har du spørgsmål til dit TDC Work, eller har du lyst til at bestille mere, kan du kontakte os på telefonnummeret nedenfor. Kundeservice 80 80 80 90 Internet tdc.dk TDC A/S Teglholmsgade 3 0900 København C