Godt i gang guide

TDC Work

Marts 2011

2

Indhold1. Velkommen til TDC Work 3

2. Udvidet service 5

3. Sådan kommer du i gang 5

3.1 Det tekniske udstyr, bl.a. router og skillefilter, skal installeres 5

3.2 Bredbåndsforbindelsen og adgang til virksomhedens netværk skal etableres 6

3.3 Trådløs forbindelse kan etableres mellem din pc og router 7

3.4 Tjek at alting virker 7

3.5 Sådan anvender du TDC PC-Sikkerhed 7

4. Tekniske specifikationer 8

4.1 Specifikationer på standardrouteren 8

4.2 Forudsætninger for installation 9

4.3 Ip-adresser 9

4.4 Trådløs funktion 10

4.5 Sikkerhed 11

4.6 Indgående applikationer med standardrouter 12

4.7 Udgående applikationer med standardrouter 13

4.8 DHCP-opsætning vedr. internet for lokalnettet på standardrouter 14

4.9 Opsætning af egne servere på standardrouter 14

4.10 Reverse DNS lookup 16

4.11 VPN MPLS ekstrakanalen 17

3

1. Velkommen til TDC WorkTillykke med din nye bredbåndsløsning, som vi håber du og din husstand får storglæde af.

Du har fået TDC Work i kombination med enten:• TDC HomeTrio – internet, ip-telefoni og tv• TDC HomeDuo – internet og ip-telefoni• TDC Bredbånd – internet

Du har nu en sikker adgang til din virksomheds netværk hjemmefra , hvis du har valgt at få ’Work med MPLS’. Samtidig har du og din familie direkte adgang til alle de private funktioner, som I har brug for.

Du kan læse mere om, hvad du får med TDC HomeTrio, TDC HomeDuo eller TDC Bredbånd på tdc.dk. Du skal være opmærksom på, at med løsningerne TDC HomeDuo og TDC HomeTrio leverer TDC normalt en TDC HomeBox. Det kan dog også ske, at TDC leverer en router af typen Netopia i stedet for TDC HomeBox, hvis der er specielle ønsker til opsætning.

Denne brochure beskriver, hvad du får med TDC Work.

TDC Work inkluderer som minimum altid følgende:• Adgang til lukket virksomhedsnetværk

Vi sørger for, at du fra din privatadresse kan kommunikere sikkert med din virk-somhed over internettet i et lukket netværk, hvis du har valgt ’Work med MPLS’. Derudover kan du og resten af din husstand også få adgang til internettet i en adskilt del af forbindelsen, der går uden om din virksomheds lokalnet.

• Router med fast ip-adresse og trådløs adgangRouteren leveres med fast ip-adresse og er klargjort til trådløs funktionalitet. Det betyder, at både du og resten af husstanden kan komme internettet, uden at pc’en skal være tilsluttet med et kabel til routeren – dvs. du kan både komme trådløst på, når du skal på virksomhedens lokalnetværk og trådløst på, når du eller resten af familien vil trådløst på internettet. Den trådløse adgang er altid krypteret og dermed sikret, så uvedkommende ikke kan koble sig på din bred-båndsforbindelse. Ønsker du ikke at benytte trådløs opsætning, kan du fravælge dette ved bestilling.

• FirewallEn firewall i routeren sikrer dig mod uautoriseret adgang til dine data. Din fire-wall er sat op ud fra de behov, du oplyste ved bestilling, bl.a. om husstanden har inter ne servere eller ej.

• TDC PC-Sikkerhed (5 brugere) Her har du en sikkerhedsklient, som du kan installere på op til 5 pc’er. Pakken

4

indeholder: • Antivirus. Forhindrer at dine pc’er inficeres med virus og spyware • Firewall. Beskytter mod hackere, trojanere og netværksorme • Spamkontrol. Frasorterer spam • Forældrekontrol. Sikrer dine børn mod uønsket indhold på internettet

• Automatisk og hurtig opdatering. Beskytter straks når nye sikkerhedstrusler er opdaget

• Servicepakke ”Hverdage 8-16” på fastnet, bredbånd og router Reaktionstid ved fejl: 3 arbejdstimer ved Major fejl og 8 arbejdstimer ved Minor fejl. Maksimum fejlafhjælpningstid: 1 arbejdsdag ved Major fejl og 2 arbejdsdage ved Minor fejl. Major fejl betyder, at løsningen er afbrudt eller kvalitetsmæssigt så forringet, at du er afskåret fra brug af de mest basale funktionaliteter i løsningen. Minor fejl betyder, at du oplever forringet kvalitet eller en begrænsning i tilgængeligheden af udbudte funktionaliteter. Kabelfejl definerer TDC altid som en Minor fejl.

• ErhvervssupportHar du spørgsmål til din løsning, kan du ringe på 80 80 80 90. Mandag - fredag kl. 8.00 til 20.00 Weekend kl. 10.00 til 18.00 Helligdage kl. 10.00 til 16.00

Du kan fejlmelde din løsning hos Erhvervssupport hele døgnet. Fejlretning sker i henhold til den servicepakke, du har tegnet. Der ydes ikke hjælp til opsætning af eget udstyr på forbindelsen. Information om problemer i nettet eller planlagt systemarbejde kan findes her: kundeservice.tdc.dk/erhverv/driftsinformation.

5

2. Udvidet serviceHvis du køber udvidet service, skal du have den samme pakke på både telefoni, router og bredbånd, så hele løsningen er dækket ind. Definitionen på servicepak-kerne er:

3. Sådan kommer du i gangI det følgende finder du en beskrivelse af, hvordan du aktiverer de forskelligeelementer i din TDC Work. I beskrivelsen henvises der til en brugervejledning forrouteren – denne har du ikke modtaget endnu. Brugervejledningen ligger sammenmed din router, som du får tilsendt med posten eller udleveret af vores tekniker påinstallationsdagen. Det afhænger af den valgte installationsform.

Breve med ip-adresserDu kan modtage to breve med en række ip-adresser inden installationsdatoen – etbrev vedr. ip-adressen til dit lukkede netværk (MPLS) og et brev vedr. ip-adressen tilinternettet.

Brevene sendes til brugeradressen, via en e-mail til en adresse bestemt af dig ellerbegge dele. Du kan også vælge ikke at få tilsendt ip-brevene. Du bestemmer dette ved selve bestillingen. Informationen i brevene er kun relevant for dig, hvis du skal have en printer eller server på mpls-netværket eller, hvis du har et domænenavn, som skal pege ind på din egen server. I alle andre tilfælde kan du blot se bort fra brevene.

For at komme i gang med din TDC Work skal du igennem følgende trin:

3.1 Det tekniske udstyr, bl.a. router og skillefilter, skal installeresDer findes to forskellige installationsformer, ’Godt I Gang’ og ’Gør Det Selv’. Det fremgår af din ordrebekræftelse, hvilken installationsform der er valgt. Begge instal-lationsformer og krav hertil er detaljeret beskrevet i afsnittet ’Tekniske specifika-tioner/Installationsformer’ i denne brochure.

Servicepakke Hverdage Hverdage Alle dage Alle dage 8 - 16 8 - 20 8 - 22 00 - 24

Ugedage Ma.-fr. Ma.-fr. Ma.-sø. Ma.-sø.

Periode 8 - 16 8 - 20 8 - 22 0 - 24

Reaktion Major fejl 3 timer 1 time 1 time 30 minutter

Reaktion Minor fejl 8 timer 4 timer 4 timer 2 timer

Max fejlafhjælp.tidMajor 1 arb.dag 10 timer 8 timer 4 timer

Max fejlafhjælp.tidMinor 2 arb.dage 1 arb.dag 1 arb.dag 1 arb.dag

Muligheder for udvidet service. Hverdage 8-16 er inkluderet.

6

Eksisterende bredbåndskunde hos TDC?Er du eksisterende bredbåndskunde hos TDC, og har du skiftet til TDC Work, er detmuligt, at du skal have installeret en ny router. Det vil fremgå af din ordrebekræf-telse, hvis du skal have udskiftet din router. Vær opmærksom på, at der på dagenfor den nye installation vil ske en kortvarig afbrydelse af din bredbåndsforbindelse.

For dig, som har købt en ’Godt I Gang’-installationHar du valgt en ’Godt I Gang’-installation, får du besøg af en tekniker på den dato, der er skrevet i din ordrebekræftelse. Teknikeren medbringer blandt andet trådløs router, sætter al udstyret op og tester linjen. Teknikeren installerer også trådløs adgang på én pc.

TDC’s standardrouter har indbygget modem.

Der skal være 230 V strøm tilgængelig på det sted, hvor bredbåndsforbindelsen skalinstalleres.

For dig, som har købt PC installationHar du valgt PC Installation (tillægsprodukt til ’Godt I Gang’), konfigurerer TDC’s tekniker én pc til anvendelse af forbindelsen og foretager onlineregistrering samt opsætning af e-mail-konto, hvis du ønsker det.

For dig, som har købt en ’Gør Det Selv’-installationHar du valgt en ’Gør Det Selv’-installation, sender vi evt. skillefilter og trådløs routermed posten, hvorefter du selv installerer udstyret ud fra den medfølgende bruger-vejledning. Har du brug for tekniske specifikationer om routeren, inden du modtager den, fremgår de også af afsnittet ’Tekniske specifikationer/Specifikationer på stand-ardrouteren’ i denne brochure. Routerens firewall er allerede sat op af TDC, så her skal du intet foretage dig selv.

3.2 Bredbåndsforbindelsen og adgang til virksomhedens netværk skal etableresMed TDC Work med MPLS får du adgang til internettet og virksomhedens netværk i en og samme forbindelse. Dette betyder, at du enten kan få adgang til både virksomheds netværket (VPN MPLS) og internettet fra samme pc, samt sikker adgang til kun internettet fra anden pc (f.eks. med routerprofil 7). Eller du kan få adgang til kun internettet fra én pc samt adgang til virksomhedsnetværket (VPN MPLS) fra en anden pc (f.eks. med routerprofil 3). Du kan se på din ordrebekræftelse, hvilken routerprofil, der er bestilt.

Kommunikation mellem pc og routerNår det tekniske udstyr er blevet installeret, skal pc’erne (dvs. både din arbejds-pcog hjemme-pc) nu gøres klar til at kommunikere med routeren. Vejledning til dette finder du i afsnittet ’Opsætning til Windows’ i routerens brugervejledning. Afsnittet forklarer, hvordan pc’erne sættes op til automatisk at hente ip-adresser ognavneserveradresser (DHCP).

7

Pc’ernes forbindelse til internettetNår kommunikationen mellem pc og router er etableret, skal pc’erne sættes op til at oprette forbindelse til internettet. Vejledning til dette finder du i afsnittet ’Op-sætning af browser’ i routerens brugervejledning.

Adgang til virksomhedsnetværkDu skal intet foretage dig for at få adgang til virksomhedens netværk. Når dettekniske udstyr er installeret, og pc’erne er sat op, er der oprettet adgang til virk-somhedens netværk. Du kan nu få adgang til de samme filer og mails, som hvis du sad fysisk på din arbejdsplads.

3.3 Trådløs forbindelse kan etableres mellem din pc og routerDet er valgfrit, om du vil etablere den trådløse forbindelse mellem din router og pc.Afsnittet ’Trådløs forbindelse fra TDC HomeBox til pc/Opsætning af den trådløse adgang’ i routerens brugervejledning beskriver, hvordan du aktiverer den trådløse adgang. I den forbindelse skal du bla. anvende dette link til TDC’s selvbetjenings-univers: tdc.dk/tts, hvor du kan hente dine trådløse konfigurationsoplysninger. Af din ordrebekræftelse under ’Din ordre omfatter’ fremgår det, om du har valgt WEP- eller WPA-kryptering til sikring af den trådløse forbindelse.

Bemærk, at kablet fra routeren skal tilsluttes pc’en, mens du aktiverer den trådløseforbindelse, og at man i nogle tilfælde skal fjerne kablet igen, før den trådløse forbindelse virker.

Du bør også være opmærksom på, at den trådløse rækkevidde er begrænset til ca.30 meter indendørs (dog kortere ved jern-/betonmure).

Du kan læse mere om installation af trådløs forbindelse i afsnittet ’Tekniske speci-fikationer/Trådløs funktion’ i denne brochure.

3.4 Tjek at alting virkerAfsnittet ’Kontrol af status/fejlsøgning’ i routerens brugervejledning beskriver,hvordan du kontrollerer tilslutningen af routeren, om denne har forbindelse til inter-nettet, og om Windows er sat korrekt op.

3.5 Sådan anvender du TDC PC-SikkerhedTDC PC-Sikkerhed skal du installere på pc’erne. Du henter sikkerhedsprogrammet ved at gå ind på tdc.dk/pc-sikkerhed. Her følger du disse trin: 1. Klik på menupunktet Download TDC PC-Sikkerhed 2. Vælg download af licensversion 3. Gem på dit skrivebord 4. Installer programmet ved at dobbeltklikke på ikonet på skrivebordet 5. Vælg Kør og følg guiden

Abonnementsnøglen, som du skal bruge under installationen, finder du på din ordrebekræftelse. Du anvender samme licensnøgle på alle dine pc’er.

8

4. Tekniske specifikationerI dette afsnit finder du uddybende tekniske specifikationer, primært beregnet tilnetværksadministratorer eller til dem, der bistår virksomheden med opsætning og konfiguration af lokalnetværket.

TDC garanterer, at standardrouteren som minimum har nedenstående funktionali-teter. TDC forbeholder sig ret til at bytte en defekt router med en anden router, der opfylder samme funktionaliteter.

4.1 Specifikationer på standardrouterenDe angivne specifikationer er generelle minimumsspecifikationer. Teknisk specifi-kation for standardrouteren fremgår af brugervejledningen, der følger med routeren.• En WAN-port 10/100 Mbit på RJ-11-stik• Fire LAN-Ethernet-porte med 10/100 Mbit på RJ-45-stik• En WAN-ip-adresse. En DHCP-tildelt fast ip-adresse på WAN-siden• Routning af ip-pakker mellem virksomhedens lokalnet og TDC’s ip-net• Private ip-adresser på LAN-siden iht. RFC 1918• Der er etableret NAT (Network Address Translation) og PAT

(Port Address Translation) mellem LAN- og WAN-interfacene• DHCP-server er etableret i routeren på LAN-interface• Ændring af routerens konfiguration foretages af TDC via et managementsystem

mod betaling• Strømforbrug for ADSL forbindelser: Forbrug maks. 8,65 Watt (med Trådløs og

fire switchporte aktive) Slukket maks. 0,29 Watt (overholder EU Code of Conduct november 2008). Ved VDSL forbindelser: Max. 10 Watt

• Der tildeles ikke officielle ip-adresser på routerens LAN-side• Der tildeles ikke yderligere officielle ip-adresser på WAN-siden

Specifikationer på trådløs forbindelse• Maks. antal brugere: 127• Transmissionshastighed: Minimum op til 54 Mbit (Wi-Fi 802.11b og 802.11g) og

visse routere understøtter også 802.11n (op til 300 Mbit)• Rækkevidde:

Afhængigt af de lokale forhold er rækkevidden op til ca. 30 meter. Men hvis der fin-des andre enheder, der bruger trådløs kommunikation, og hvis der er dæmpende materialer i bygningerne mellem modtager og afsender, så kan de være kortere rækkevidde. I ekstreme tilfælde kan udefra kommende støj eller meget dæmpende materialer betyde, at det ikke er muligt at få det trådløse til at fungere. Under ideelle forhold kan du opnå følgende hastigheder på en trådløs lokal forbin-delse: • 802.11b forbundet med 11 Mbit - maksimum hastighed 4-5 Mbit • 802.11g forbundet med 54 Mbit - maksimum hastighed 20-22 Mbit • 802.11n forbundet med 130 Mbit - maksimum hastighed 60-65 Mbit

9

4.2 Forudsætninger for installationKrav til installation med standardrouter• Accesforbindelse: almindeligt fastnet-(PSTN)/Basislinje- eller ISDN-abonnement.

Efter 1. januar 2011 ingen nye bredbånd på ISDN.• Stik: et stik med 230 V til router• Maks. 100 meter mellem router og netværksudstyr (Ethernet)• Hub/switch eller pc med twisted pair-Ethernet, 10Base-T eller 10/100Base-T• Hvis der bruges hub/switch, skal der være en ledig port til at tilslutte routeren• Programmel (ip-software, browser, mailklient mv.) til relevante maskiner• Luftfugtighed: 20 % - 80 %, ikke kondenserende• Driftstemperatur: +10° C til +40° C. Driftstemperaturer over +40° C kan beskadige

routeren. Placer routeren frit med god ventilation (ikke oven på andet varmt it-udstyr)

Installation af trådløs forbindelseTrådløst udstyr installeres af brugeren selv ud fra den medfølgende brugervej led-ning til routeren. Hvis bredbåndsforbindelsen leveres som ‘Godt I Gang’-installation med evt. PC Installation, installerer teknikeren også trådløs adgang på én pc, hvis du ønsker det. Har brugeren allerede modtaget og anvendt routeren skal denne først slukkes og tændes igen. Herefter anvendes oplysninger om netværksnavn (SSID), krypteringsform samt netværks nøgle (krypteringsnøgle).

Læs mere op opsætning af den trådløse forbindelse i afsnittet ’Tekniske specifika-tioner/ Trådløs funktion’ i denne brochure.

4.3 Ip-adresserPå TDC Work løsninger tildeles som beskrevet i afsnittet ’Tekniske specifikationer/Specifikationer for standardrouteren’ automatisk en DHCP-tildelt fast WAN-ip-adres-se til routerens WAN-port.

Oplysninger om ip-adresser og subnet-maske fremgår af oprettelsesbrevet ’Ip-brev – information vedr. internettilslutning’. Dette sendes direkte til brugeradressen, til en selvvalgt e-mail adresse, begge steder eller sendes ikke, hvis det er fravalgt ved bestillingen.

Ip-adresser til internetadgang på LAN-siden af routeren er tildelt efter standardenRFC 1918 (DHCP). Adresserne vil være i adresseområdet 192.168.1.6 til192.168.1.100. Adresserne 192.168.1.101 - 192.168.1.254 kan bruges som statiske adresser.

10

4.4 Trådløs funktionDen trådløse funktion kan leveres til bredbåndsforbindelser med standardrouter (Netopia eller TDC HomeBox).

Den trådløse funktion leveres via et indbygget accespunkt i standardrouteren. Det trådløse udstyr får sin ip-adresse via DHCP. Hvis DHCP-serveren i standardroute-ren er slået fra, kan den trådløse funktion ikke fungere. Routeren tildeler en ledig ip-adresse (i den normale standardkonfiguration er det i området 192.168.1.6 til 192.168.1.100).

Trådløs bygger på 802.11g-standarden (op til 54 Mbit), der også understøtter 802.11b (op til 11 Mbit). Nogle routere understøtter også 802.11n (300 Mbit).

Trådløs funktion leveres som standard med broadcast af netværksnavn, hvil-ket betyder, at den trådløse adgang gør opmærksom på sin tilstedeværelse og vil kunne ses, men ikke anvendes af andre pc’er. Dette kan slås til og fra i TDC’s Selvbetjenings univers.

Trådløsfunktionen leveres som standard med kryptering. Mulige krypteringsformer er WPA2, WPA eller WEB. WPA2 supporterer både TKIP og AES. Som standard leverer TDC krypteringsformen WPA (WPA2 eller WPA -styres af det tilsluttede udstyr) med PSK (PreShared Key). TDC leverer krypteringsnøglen (password).

WPA-krypteringen (WI-FI-Protected Access) bruger en 128-bit nøgle, som anvender en dynamisk nøgleudvekslingsmetode (AES eller TKIP), som er langt kraftigere end den, der anvendes ved krypteringsformen WEP.

Ved WPA kryptering skifter krypteringsnøglen dynamisk under kommunikationen, hvilket fjerner risikoen for at aflure krypteringsnøglen. Herudover giver teknologien mulighed for yderligere beskyttelse ved at kræve brugernavn og password fra den person, der forsøger at få adgang til netværket. Dermed er det ikke længere nok blot at skaffe sig adgang til pc’en for at misbruge den trådløse forbindelse. Hvis krypteringsnøglen aflures, er der åbnet for misbrug af virksomhedens forbindelse og hermed for afluring af fortrolige data samt misbrug af pc’er og servere på virk-somhedens netværk.

Hvis det ønskes, kan den trådløse funktion også understøtte WEP-kryptering (Wired Equivalent Privacy) med 128-bit nøgle. Den krypterer al kommunikation mellem pc og det trådløse udstyr og kræver, at de to parter er enige om en ’statisk digital nøgle’ – svarende til et langt password.

Autentificeringen sker også her ved hjælp af en krypteringsnøgle. Nøglen skiftes ikke under forløbet og kan derfor beregnes, når der er opsamlet en tilstrækkelig mængde data. 64-bit nøgler understøttes ikke, da sikkerheden ikke er tilstrækkelig god. Bemærk, at ældre trådløst udstyr i mange tilfælde skal opdateres med ny firm-ware, og at der skal hentes nye drivere hos leverandøren for at få support til 128-bit krypteringsnøgler.

11

Det er kun muligt at vælge krypteringsformen WEP på enten adgangen til internettet eller til MPLS-forbindelsen.

Ændringer til den trådløse opsætning Det trådløse udstyr konfigureres i installationsforløbet centralt af TDC. Herefter er opsætningen registreret hos TDC og kan genskabes, når det er relevant. Efter installationen kan der opstå behov for at ændre nogle af de trådløse parametre. Virksomheden har mulighed for at fastsætte/ændre følgende parametre: netværks-navn (SSID), broadcast (fra/til), krypteringsform (WEP/WPA), krypteringsnøgle og kanalvalg.

TDC tilbyder to former for administration, når de trådløse parametre skal ændres: • TDC-administreret (alle ændringer foretages af TDC) • Brugeradministreret (ændringer foretages af bruger via TDC’s selvbetjeningsuni-

vers. Find mere information om dette på tdc.dk/pcvejl

4.5 Sikkerhed På standardrouteren er der opsat de sædvanlige anti-spoofing-filtre, dvs. mod 127/8, 255/8 og 0/8 samt 192.168.1.0/24.

Anti-spoofing-filter sikrer, at en ekstern hacker ikke kan forfalske afsenderinforma-tion (spoofing), så routeren tror, at data, der kommer ind udefra, er intern trafik.

Det er virksomhedens ansvar, at egen mailserver ikke står som ’open relay’, hvor-ved eksterne kan misbruge mailserveren til at sende spam (reklame-e-mails). Hvis mailserveren ved en fejl alligevel står som ’open relay’ og misbruges, forbeholder TDC sig ret til at lukke virksomhedens forbindelse, hvis problemet ikke er løst inden for en rimelig frist. Den normale måde at forhindre den slags problemer på er at konfigurere mailserveren til de ip-adresser, der må anvende mailserveren. TDC kan teste, om en mailserver står som ’open relay’. Send en e-mail til csirt@csirt.dk med oplysninger om mailserverens ip-adresse og hostnavn og den e-mail-adresse, som svaret skal sendes til. Så får du i løbet af kort tid svar på, om mailserveren kan an-vendes til at videresende e-mails.

Firewall til standardrouter Til standardrouteren hører en standardfirewall, som omfatter implementering af nedenstående sikkerhedspolitik: • Der er adgang til interne mailgateways/-servere fra internettet • Der er ingen adgang til øvrige interne net og systemer fra internettet • Følgende trafik tillades fra det interne net og ud mod internettet:

– Alle enkeltkanal-TCP-sessioner (f.eks. telnet, POP3) – Alle enkeltkanal-UDP-sessioner (f.eks. DNS) – CU-SeeMe (White Pine-version) – FTP (tillader ikke trevejs-FTP-transfer. Datakanalport skal være mellem 1024 og

65535) – H.323 (NetMeeting, ProShare) – UNIX R-kommandoer (rlog-in, rexec, rsh)

12

– RealAudio – SMTP (tilladte kommandoer: data, ehlo, expn, helo, help, mail, noop, quit, rcpt,

rset, saml, send, soml, vrfy. Anvendelse af ikke-tilladte SMTP-kommandoer resul-terer i, at FW resetter forbindelsen)

– SQL*Net – Streamworks – TFTP – VDOLiveSikkerhedsløsningen omfatter implementering af ét lokalt netsegment.

Løsningstyper for firewallprofilerSikkerhedsløsningen kan leveres i fire forskellige standardudgaver:• Mulighed for egen intern mailserver (Firewallkonfiguration 1)• Mulighed for egen intern mailserver, webserver, FTP-server samt DNS-server (Fire-

wallkonfiguration 2)• Ingen mulighed for egne interne servere (Firewallkonfiguration 3)• Åben adgang (DMZ) (Firewallkonfiguration 4)

Løsningen tager udgangspunkt i den standardrouterkonfiguration, er er beskreveti dette dokument. Firewallen udfører Stateful Packet Inspection. Ændringer istandardfirewallløsningen kan foretages af TDC mod betaling.

4.6 Indgående applikationer med standardrouterPortene UDP 161 og TCP 23 (telnet) anvendes af TDC til at programmere routeren. Der er opsat filtre i routeren, der sikrer, at det kun er TDC’s Servicecenter, der kan komme i forbindelse med routeren.

Der er som standard filter på port 25 (SMTP) og port 119 (NNTP). Filtrene er opsat af sikkerhedshensyn. Formålet er at forhindre spam og misbrug af virksomhedens pc. TDC forbeholder sig ret til at introducere yderligere filtre, eksempelvis i forbin-delse med omfattende virus- og ormeangreb.

TDC anbefaler, at filteret fjernes, når virksomheden selv har sin egen mailserver.

Angreb mod port 25 kan kun gennemføres, hvis der er tilsluttet en mailserver som beskrevet i afsnittet ’Tekniske specifikationer/Opsætning af egne servere på stan-dardrouter’,og mailserveren ikke er korrekt konfigureretog beskyttet, se afsnittet ’Tekniskespecifikationer/Sikkerhed’.

TDC anbefaler, at filteret opretholdes i forbindelsemed hjemmearbejdspladser. Ved bestilling kan filteret fjernes uden gebyr. Der opkræves håndteringsgebyr ved senere fjernelse/genetablering af filteret.

13

TDC forbeholder sig ret til at etablere filteret på tilslutninger, der misbruges på grund af utilstrækkelige sikkerhedsforanstaltninger. WAN-interfacet svarer på Ping (ICMP echo request). Alt efter løsningstypen på standardrouterens firewall vil der være åbent for en del mængde af følgende applikationer:• FTP-filserver (File Transfer Protocol) (port21 tcp)• SMTP-mailserver (Simple Mail TransportProtocol) (port 25 tcp), POP3 (port 110tcp)• HTTP Webserver (Hyper Text TransportProtocol) (port 80 tcp)• HTTPS Secure Webserver (Hyper TextTransport Protocol Secure) (port 443 tcp)• DNS-navneserver (Domain Name System)(port 53 udp og tcp)Det er muligt at

åbne for flere indgåendeapplikationer.

På standardrouteren fordeles trafikken til følgende interne ip-adresser:• 192.168.1.1 Routerens LAN-interface• 192.168.1.2 Mailserver• 192.168.1.3 Webserver og Secure Webserver• 192.168.1.4 FTP-server og DNS-server• 192.168.1.5 Reserveret til Homedisk• 192.168.1.6 til 192.168.1.100 tildeles dynamisk af DHCP-serveren, der sidder i

routeren• 192.168.1.101 til 192.168.1.254 kan anvendes til pc’er, der skal have en fast LAN

ip-adresse

4.7 Udgående applikationer med standardrouterPå forbindelser med standardrouter er der åbent for alle udgående applikationer (porte). Således virker følgende applikationer:• WWW/web/HTTP• FTP• Navneforespørgsler• News• Whois• SMTP• POP3• NTP (Network Time Protocol)

Der kan være begrænsninger for maskiner tilsluttet lokalnetinterfacet. En række ap-plikationer vil ikke kunne fungere korrekt, hvis de anvendes fra en maskine tilsluttet lokalnetinterfacet, bl.a.:• NetMeeting og andre applikationer, der bruger H.323-standarden• ICQ (modtagelse af filer) samt alle andre applikationer, der ikke er kompatible med

NAT/PATFølgende applikationer er reserveret til TDC på WAN-interfacet:• SNMP (Simple Network Management Protocol)• Telnet

14

4.8 DHCP-opsætning vedr. internet for lokalnettet på standardrouterDHCP-serveren i routeren forenkler ipopsætningen af pc’er på lokalnettet. Hver enkelt pc (undtagen servere) konfigureres til at hente en ip-adresse automatisk. Når en bruger tænder sin pc, får pc’en følgende information:• Ip-adresse, der ligger i områder 192.168.1.6 til 192.168.1.100• Undernetmaske (subnetmaske) 255.255.255.0 Default gateway 192.168.1.1• Navneserver (1) 194.239.134.83 (ns3.tele.dk)• Navneserver (2) 193.162.153.164 (ns3.inet.tele.dk)

TDC forbeholder sig ret til at anvende andre navneservere.

4.9 Opsætning af egne servere på standardrouterDer kan enten opsættes flere fysiske servere med hver sin ip-adresse og serverap-plikation eller alternativt én fysisk server med flere ip-adresser og serverapplikatio-ner.

Hvis én fysisk server skal håndtere flere serverapplikationer, kan der anvendesfølgende løsning, der ikke kræver ændring af standardkonfigurationen:• I Windows NT 4.0, Windows 2000, Windows XP og i Linux er løsningen at tildele

serverens fysiske netværkskort flere ip-adresser (192.168.1.2, 192.168.1.3 samt 192.168.1.4).

• I Windows 95/98 og ME er det ikke muligt at tildele flere ip-adresser til samme netværkskort ved hjælp af kontrolpanelet. Ændringen kan dog udføres ved at rette i registreringsdatabasen. Dette er beskrevet i dokumentet Q156772 i Microsoft Knowledge Base.

Software til nedenstående serverapplikationer kan købes gennem en pc-leverandør, eller der kan downloades freeware- eller sharewareprogrammer fra Tucows: tucows.tdconline.dk.

NavneserverVirksomhedens navneserver skal have ip-adressen 192.168.1.4, subnetmaske 255.255.255.0 og default gateway192.168.1.1 og lytte på TCP-port 53 (DNS). Du kan ikke opsætte mere end én navneserver.

15

Da DK Hostmaster kræver minimum to navneservere pr. aktivt domæne, skal der etableres en sekundær navneserver, f.eks. hos TDC. Navneserveren skal have et navn, f.eks. ns.firmanavn.dk. Desuden skal navneserveren pege på routerens WAN-ip-adresse.

Indgående mailserverVirksomhedens mailserver skal have ip-adressen 192.168.1.2, subnetmaske 255.255.255.0 og default gateway192.168.1.1 og lytte på TCP-port 25 (SMTP). For de domæner, den skal modtage post fra, skal der opsættes en MX-record, der peger på den tildelte WAN-ip-adresse. Adressen står i oprettelsesbrevet. Nedenstående skal kun udføres, hvis filteret mod port 25 ikke er bestilt fjernet.

Virksomheden skal konfigurere MX-records for sit domænenavn, således at virksom-hedens DHCP-tildelte faste ip-adresse står som MX-record med højeste prioritet (eksempelvis 10). Virksomheden skal dernæst bede sin DNS-leverandør om at sætte backup-mx.post.tele.dk ind som MX-record med en lavere prioritet (eksempel-vis 20).

I scenariet, hvor man udefra modtager en mail, vil afsenderen først forsøge at afle-vere direkte til virksomhedens DHCP-tildelte faste ip-adresse (højesteMX-prioritet), men mailen bliver blokeret i filteret. Blokeringen foregår ved, at routeren melder tilbage med meddelelsen ’ICMP destination port unreachable’. Alt afhængigt af afsenderens implementering vil den straks fortsætte til den maskine, der står med næsthøjeste prioritet, alternativt prøve igen nogle gange, hvorefter den vælger maskinen, der står med næsthøjeste prioritet - backup-mx.post.tele.dk.

Backup-mx.post.tele.dk modtager mailen, og da der er lukket op i filteret for denne maskine, vil den straks forsøge at videresende mailen til den MX-record, der har højeste prioritet, og have succes med det, hvis virksomhedens mailserver svarer.Princippet i konfigurationen er illustreret herunder:

Mailafsender Router (filter) Virksomhedens server

Back-up - mx.post.tele.dk2. Næsthøjeste prioritet MX

1. Højeste prioritet MX 3. Mail afleveres

Eksempel på navneserver record for domænet firmanavn.dk: MX 10 mail.firmanavn.dkMX 20 backup-mx.post.tele.dk mail.firmanavn.dk <DHCP-tildelt fast ip-adresse>.

16

Backup-mx.post.tele.dk er konfigureret således, at den kun kan relaye ud for højere prioriterede MX records, der svarer til ip-adresser inden for TDC’s ip-adressepuljer.

Udgående mailserverNår du vil sende mail, skal du sende igennem den mailserver, hvor domænet er hostet.

Har du egen mailserver, skal du huske følgende• Send en e-mail til hostmaster@tele.dk for at få oprettet reverse DNS. E-mailen

skal indeholde kontaktinformation, TTL, ip-adressen på mailserveren og navn på mailserveren f.eks. mail.firmanavn.dk. TTL (time to live) for dette navn skal være mindst 43200 sek.

• Der oprettes/ændres MX-record for mail. firmanavn.dk, så den har en TTL, der er mindst 43200 sek. Navnet skal være samme navn som rDNS for ip-adressen. Altså f.eks mail.firmanavn.dk.

• Der oprettes/ændres A-record for mail. firmanavn.dk, så den har en TTL, der er indstillet til 43200 sek.

Webserver og Secure webserverVirksomhedens webserver skal have ip-adressen 192.168.1.3, subnetmaske 255.255.255.0 og default gateway 192.168.1.1 og lytte på TCP-port 80 (http) og 443 (https). Det er ikke muligt at få adgang til andre porte, medmindre der foreta-ges ændringer i standardkonfigurationen. Udefra vil webserveren optræde med routerens officielle ip-adresse, som fremgår af oprettelsesbrevet. Denne adresse skal sættes ind i de relevante domæner.

FTP-serverVirksomhedens FTP-server skal have ip-adressen 192.168.1.4, subnetmaske 255.255.255.0 og default gateway 192.168.1.1 og lytte på TCP-port 21 (FTP con-trol). Navnet på FTP-serveren, f.eks ftp. firmanavn.dk, skal pege på routerens WAN ip- adresse i zonefilen for domænenavnet.

4.10 Reverse DNS lookupReverse DNS lookup (PTR record) for virksomhedens ip-adresse er indstillet af TDC.

Navnet er entydigt, dvs. alle ip-adresser har ’deres eget navn’. Dette gælder for allevirksomheder, der kun har fået tildelt én officiel ip-adresse.

Virksomheder med egne servere kan få ændret reverse DNS, se mere under afsnit-tet Tekniske specifikationer/Opsætning af egne servere på standardrouter’.

17

4.11 VPN MPLS ekstrakanalen Ekstrakanalen på ExtraBase/Multibase med VPN MPLS får som udgangspunkt tildelt ip-adresser som en del af oprettelsesprocessen. Eneste forudsætning er, at range for WAN-hhv. LAN-adresser er aftalt med TDC i forbindelse med bestillingen.

Som WAN-adresse tildeles der en /30 adresse i det interval, der er aftalt for WAN-adresser. Som LAN-adresse tildeles en /24 adresse i det interval, der er aftalt for LAN-adresser. Det kan aftales, at antallet af LAN-adresser er mindre end /24, idet alle værdier i intervallet /24-/30 er mulige.

Der kan også aftales en række fælles parametre for standardrouteren. Det drejer sig om parametrene: DNS server, WINS server, DHCP relay, TFTP server, NTP server, RADIUS server, secret og port, samt SNMP server, Domain Name samt Direct broad-cast.

Standardrouteren behandler de tildelte LAN-adresser således: Adresserne i interval-let x.x.x.100-x.x.x.200 tildeles ved hjælp af DHCP. Adresserne x.x.x.2-x.x.x.99 samt x.x.x.201-x.x.x.254 kan af brugeren tildeles statisk. Hvis der er tildelt færre LAN-adresser (/25 til /28) vil de første 6 ip-adresser i intervallet være til brug for statiske ip-adresser, og resten vil blive tildelt med DHCP. For /29 gælder, at det er de 3 første ip-adresser der kan bruges til statisk og de 3 sidste tildeles med DHCP. For /30 gæl-der, at den første er til statisk ip-adresse og den anden tildeles med DHCP.

Det kan også aftales, at ekstrakanalen tildeles specifikke adresser -manuelt tildelte ip-adresser (tilkøb). Det er samtidig muligt at aftale første og sidste adresse, der uddeles med DHCP. Det gælder kun, hvis det i aftalen vedr. fælles parametre for standardroutere, er forudsat, at der ikke benyttes DHCP relay.

VPN MPLS ekstrakanalen kan gøres tilgængelig trådløst, hvis det ønskes. Forhold vedr. SSID, kryptering m.v. samt selvbetjening via TTS er helt som beskrevet i afsnit 4.4. Dog er det ikke muligt at aktivere broadcast af SSID på alle standardroutere.

Hvis der er behov for yderligere sikring af den trådløse adgang, kan TDC også levere trådløs med brugervalidering (802.1x): Kryptering (EAP-TLS eller EAP-PEAP). Det forudsætter, at virksomheden har en RADIUS server, der varetager login procedu-ren.

TDC

A/S

, Kø

ben

havn

, CV

R 1

47

73

90

8 C

om

mun

icat

ion

/SP,

71

37

-11

11

KontaktosHar du spørgsmål til dit TDC Work, eller har du lyst til at bestille mere, kan du kontakte os på telefonnum-meret nedenfor.

TDC A/S Teglholmsgade 3 0900 København C

Kundeservice 80 80 80 90Internet tdc.dk