|
|
 | VPN bag firewall
Fra : Søren L. |
Dato : 04-01-02 22:56 |
|
Hej.
Vi har her i firmaet lige købt en VPN boks og den bliver kun brugt til VPN
til intranet (altså ikke NAT, firewall eller andet). Hvad er argumentet for
at sætte den bag en firewall? Jeg kan ikke umiddelbart se nogen grund til
det.
Hilsen Søren
| |
 Jesper Angelo (05-01-2002)
| Kommentar
Fra : Jesper Angelo |
Dato : 05-01-02 04:13 |
|
For at bevare point-of-entry eet sted.
Ellers får du:
Hacker
*
*
*
**********************
* *
* *
* *
VPN Firewall
* *
* *
* *
**********************
*
*
*
LAN
Altså to mulige indgange. Da du/man/nogen til dagligt vil fokuserer på FW,
kan man let glemme at holde øje med VPN (og ikke mindst, daglig opdatere den
med patches). Med tiden risikere man altså at sikkerheden degraderes. Hvis
du derudover kører f.eks CiscoOS eller Linux på FW og f.eks. en NT baseret
VPN server, har hackeren valget mellem to miljøer, når vedkommende vil
prøve.
Ved at sætte VPN bag FW, kan man fokuserer på FW, og kun skulle holde øje
med evt. huller og patches til VPN serverens VPN del.
Hvis du hver dag troskyldigt gennemgår _begge_ maskiner og holder dem ved
lige, er der intet i vejen for at have to FWs (VPN boksen ER per definition
pga. positionen i ovenstående en FW).
"Søren L." <unknown@nowehere.com> skrev i en meddelelse
news:3c36250a$0$89073$edfadb0f@dspool01.news.tele.dk...
> Hej.
>
> Vi har her i firmaet lige købt en VPN boks og den bliver kun brugt til VPN
> til intranet (altså ikke NAT, firewall eller andet). Hvad er argumentet
for
> at sætte den bag en firewall? Jeg kan ikke umiddelbart se nogen grund til
> det.
>
> Hilsen Søren
>
>
| |
Kasper Dupont (05-01-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 05-01-02 08:22 |
|
Jesper Angelo wrote:
>
> For at bevare point-of-entry eet sted.
>
> Ellers får du:
>
> Hacker
> *
> *
> *
> **********************
> * *
> * *
> * *
> VPN Firewall
> * *
> * *
> * *
> **********************
> *
> *
> *
> LAN
Et alternativ ville være:
Internet
|
+------############
####### # # evt. DMZ
# VPN # # Firewall #------------
####### # #
+------############
|
LAN
På den måde får firewallen mulighed for at sikre lokalnettet
meget godt mod fejl i VPN boksen. Men hvis man vælger denne
løsning skal man være opmærksom på to ting:
- Man skal være ekstra omhyggelig med opsætning af firewallen
der jo nødvendigvis kræver et mere compliceret regelsæt.
- Man må ikke glemme sikkerheden på VPN boksen. Den er ikke
helt så kritisk som før, men den er bestemt ikke ligegyldig.
--
Kasper Dupont
Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.
| |
Christian E. Lysel (05-01-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 05-01-02 13:42 |
|
Søren L. wrote:
> Hej.
>
> Vi har her i firmaet lige købt en VPN boks og den bliver kun brugt til VPN
> til intranet (altså ikke NAT, firewall eller andet). Hvad er argumentet for
> at sætte den bag en firewall? Jeg kan ikke umiddelbart se nogen grund til
> det.
Har du ikke selv skrevet svaret? :)
Du har købt en VPN boks og _ikke_ en firewall, derfor skal den beskyttes
af en firewall, hvis du ikke stoler på boksens sikkerhed.
Hvis nu du gik ud og købte en webserver, ville du så også stille den
mellem Internet og LAN'et?
Hvis det intranet ikke har noget at gører med resten af dit net, og der
ikke er vigtige oplysninger på intranettet, har du ret.
| |
|
|