|
| VPN og Firewall .... et par spørgsmål??? Fra : bs |
Dato : 14-01-02 16:42 |
|
Hej alle!
I forb. med uddannelse har jeg læst lidt om VPN...
1)
Jeg kan huske, at der er nogen som tidligere har skrevet noget om VPN
og problemer i forbindelse med VPN og Firewall.
Jeg kan ikke rigtigt huske om det var her på denne NG, men er der
nogle gennerelle problemer med VPN i forbindelse med Firewall ?
F.eks. i forbindelse med porte, protokoller osv.
2)
Hvor placerer man VPN-end-point
På ydersiden af Firewallen, i DMZ-zonen, i selve firewallen, på
indersiden af LAN eller ?????
Normalt cross-poster jeg ikke, men jeg var lidt i tvivl om dette
indlæg burde lægge i
dk.edb.netvaerk
eller
dk.edb.netvaerk.stort
???
Jeg håber virkelig nogen kan forklare...
På forhånd 1000 tak!
Hilsen
Benny
| |
Anders Jensen (14-01-2002)
| Kommentar Fra : Anders Jensen |
Dato : 14-01-02 23:33 |
|
> Jeg kan ikke rigtigt huske om det var her på denne NG, men er der
> nogle gennerelle problemer med VPN i forbindelse med Firewall ?
> F.eks. i forbindelse med porte, protokoller osv.
Ikke andre problemer end at der i firewall'en er lukket for det du ikke selv
har åbnet for :)
> Hvor placerer man VPN-end-point
> På ydersiden af Firewallen, i DMZ-zonen, i selve firewallen, på
> indersiden af LAN eller ?????
Smid VPN på indersiden af LAN, og lav en NAT af VPN-porten, (1723 på MS VNP)
til den computer du vil køre VPN på.
DMZ er jo beregnet til "offentlig" adgang, så hvis du vil køre VPN så lad
den være sikker og lad web, mail osv. forblive offentlig.
Vh. Anders
| |
Asbjorn Hojmark (14-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 14-01-02 23:44 |
|
On Mon, 14 Jan 2002 23:32:34 +0100, "Anders Jensen"
<ajen@hmv118.dk> wrote:
>> Jeg kan ikke rigtigt huske om det var her på denne NG, men er der
>> nogle gennerelle problemer med VPN i forbindelse med Firewall ?
> Ikke andre problemer end at der i firewall'en er lukket for det du
> ikke selv har åbnet for :)
Plus, at der er ting, der ikke rigtig kan NAT'es, herunder IPSec
AH og transport mode. Man kan dog sagtens lave et fornuftigt VPN-
setup alligevel.
> Smid VPN på indersiden af LAN, og lav en NAT af VPN-porten,
Hvor man skal placere det der terminerer VPN kan man lagt hen ad
vejen diskutere. Det mest sikre er at terminere det på ét DMZ-ben
og tage trafikken ind mod indersiden på et andet DMZ-ben.
> (1723 på MS VNP)
PPTP kører TCP/1723 *plus* en GRE-tunnel.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
bs (15-01-2002)
| Kommentar Fra : bs |
Dato : 15-01-02 20:22 |
|
Hej Asbjørn!
> der er ting, der ikke rigtig kan NAT'es, herunder IPSec
> AH og transport mode.
Hvad gør man så, hvis der er NAT-enheder undervejs i tunnellen og man vil
bruge IPSec?
Er der en af de andre protokoller i IPsec man kan bruge ?
> Hvor man skal placere det der terminerer VPN kan man lagt hen ad
> vejen diskutere. Det mest sikre er at terminere det på ét DMZ-ben
> og tage trafikken ind mod indersiden på et andet DMZ-ben.
Forestil dig en virksomhed, som har en firewall stående. Der er et ben til
inbound og et til outbound!
De køber så en VPN-appliance. Har jeg så forstået dig korrekt, at der så på
gode firewalls er to yderlige interfaces / stik - én i DMZ ind mod LAN - én
i DMZ ud mod WAN ???
Disse to stik kobler man så vpn-boxen på?
Hilsen
Benny Sørensen
| |
Asbjorn Hojmark (15-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-01-02 23:50 |
|
On Tue, 15 Jan 2002 20:21:42 +0100, "bs" <bs@nospam.tak> wrote:
>> der er ting, der ikke rigtig kan NAT'es, herunder IPSec
>> AH og transport mode.
> Hvad gør man så, hvis der er NAT-enheder undervejs i tunnellen
> og man vil bruge IPSec?
Så kører man uden AH og i tunnel mode. De fleste produkter, jeg
er stødt på, gør alligevel det som default, men ellers kan man
typisk selv vælge det.
> Er der en af de andre protokoller i IPsec man kan bruge ?
Du mener som alternativ til AH? Man kan tage en lang (og kedelig)
diskussion om AH er nødvendigt eller overhovedet en fordel. Den
hører nok mere naturligt til i dk.edb.sikkerhed.
> Har jeg så forstået dig korrekt, at der så på gode firewalls er
> to yderlige interfaces / stik - én i DMZ ind mod LAN - én i DMZ
> ud mod WAN ???
På de fleste professionelle firewalls kan man vælge at have flere
end to ben, og man kan selv vælge, hvad de skal bruges til, og
hvilke politikker der skal gælde for trafik mellem dem.
En ofte set anvendelse er som sagt det med at bruge to ben til
VPN-delen, hvis man har ben nok at tage af.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Dennis Pedersen (16-01-2002)
| Kommentar Fra : Dennis Pedersen |
Dato : 16-01-02 00:02 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:t8c94usgoik3ao6me53i8gs2hkhbpefojj@news.worldonline.dk...
> On Tue, 15 Jan 2002 20:21:42 +0100, "bs" <bs@nospam.tak> wrote:
>
> >> der er ting, der ikke rigtig kan NAT'es, herunder IPSec
> >> AH og transport mode.
>
> > Hvad gør man så, hvis der er NAT-enheder undervejs i tunnellen
> > og man vil bruge IPSec?
>
> Så kører man uden AH og i tunnel mode. De fleste produkter, jeg
> er stødt på, gør alligevel det som default, men ellers kan man
> typisk selv vælge det.
Men ehm hvad så med enkelt stående maskine hvor man ikke har et større
bagvedliggende netværk kan man der også køre det i tunnel mode efter som de
siger de fleste produkter per default gør det? , et bud på en freeware af
denne kaliber der kan snakke op imod en racoon VPN server ville heller ikke
være af vejen :)
Eller er det kun fordi de fleste produkter du vælter over er til sammen
kobling mellem 2 'afdelinger' ? ;)
/Dennis
| |
Asbjorn Hojmark (16-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 16-01-02 01:33 |
|
On Wed, 16 Jan 2002 00:02:11 +0100, "Dennis Pedersen"
<usenetspam@*FJERNDETTE*daydreamer.dk> wrote:
>> Så kører man uden AH og i tunnel mode. De fleste produkter, jeg
>> er stødt på, gør alligevel det som default, men ellers kan man
>> typisk selv vælge det.
> Men ehm hvad så med enkelt stående maskine hvor man ikke har et
> større bagvedliggende netværk kan man der også køre det i tunnel
> mode
Ja.
> et bud på en freeware af denne kaliber der kan snakke op imod en
> racoon VPN server
Er Racoon strengt taget ikke en IKE-server?
Hvad skal VPN-klienten køre på?
Windows 2000 har fx. en IPSec-klient i pakken og kan køre 3DES /
MD5 / tunnel (og uden AH). Til andre operativsystemer skal man
bruge noget andet, men som sagt bør stort set alt kunne køre med
ovenstående settings.
> Eller er det kun fordi de fleste produkter du vælter over er til sammen
> kobling mellem 2 'afdelinger' ? ;)
Næ, jeg har også kunder med roaming users, faktisk er jeg det
selv.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Dennis Pedersen (16-01-2002)
| Kommentar Fra : Dennis Pedersen |
Dato : 16-01-02 21:31 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:k2i94uk9u61pfsd047m3upkc3pp2am80ck@news.worldonline.dk...
> On Wed, 16 Jan 2002 00:02:11 +0100, "Dennis Pedersen"
> <usenetspam@*FJERNDETTE*daydreamer.dk> wrote:
>
> >> Så kører man uden AH og i tunnel mode. De fleste produkter, jeg
> >> er stødt på, gør alligevel det som default, men ellers kan man
> >> typisk selv vælge det.
>
> > Men ehm hvad så med enkelt stående maskine hvor man ikke har et
> > større bagvedliggende netværk kan man der også køre det i tunnel
> > mode
>
> Ja.
>
> > et bud på en freeware af denne kaliber der kan snakke op imod en
> > racoon VPN server
>
> Er Racoon strengt taget ikke en IKE-server?
jo, med mulighed for at køre IPsec Tunnel / Transport med/uden AH
> Hvad skal VPN-klienten køre på?
>
> Windows 2000 har fx. en IPSec-klient i pakken og kan køre 3DES /
> MD5 / tunnel (og uden AH). Til andre operativsystemer skal man
> bruge noget andet, men som sagt bør stort set alt kunne køre med
> ovenstående settings.
Det er på 2k det skal køre.
Men hvis man skal ud noget andet end lige 3des (blowfish eller andet guf)
hvad kan så anbefales?, jeg har hørt noget om den PGP har lavet skulle være
ret godt - nogen erfaringer med den?
/Dennis
| |
Asbjorn Hojmark (16-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 16-01-02 23:23 |
|
On Wed, 16 Jan 2002 21:30:33 +0100, "Dennis Pedersen"
<usenetspam@*FJERNDETTE*daydreamer.dk> wrote:
> Men hvis man skal ud noget andet end lige 3des (blowfish eller andet guf)
> hvad kan så anbefales?, jeg har hørt noget om den PGP har lavet skulle være
> ret godt - nogen erfaringer med den?
Du tænker på PGPnet? Næ, jeg har ingen personlig erfaring med
det.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Asbjorn Hojmark (16-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 16-01-02 01:53 |
|
On Wed, 16 Jan 2002 00:02:11 +0100, "Dennis Pedersen"
<usenetspam@*FJERNDETTE*daydreamer.dk> wrote:
> Men ehm hvad så med enkelt stående maskine hvor man ikke har et større
> bagvedliggende netværk kan man der også køre det i tunnel mode efter som de
> siger de fleste produkter per default gør det? , et bud på en freeware af
> denne kaliber der kan snakke op imod en racoon VPN server ville heller ikke
> være af vejen :)
Jeg søgte lidt og fandt dette:
http://asherah.dyndns.org/~josh/ipsec-howto.txt
Det bekræfter
- At man kan køre det som 3DES/MD5/tunnel (og uden AH)
- At man kan bruge W2Ks indbyggede IPSec.
- At Racoon er en IKE-server
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Dennis Pedersen (16-01-2002)
| Kommentar Fra : Dennis Pedersen |
Dato : 16-01-02 21:31 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:cni94ugqqigll8g2qno7mvofoj82pqn6on@news.worldonline.dk...
> On Wed, 16 Jan 2002 00:02:11 +0100, "Dennis Pedersen"
> <usenetspam@*FJERNDETTE*daydreamer.dk> wrote:
>
> > Men ehm hvad så med enkelt stående maskine hvor man ikke har et større
> > bagvedliggende netværk kan man der også køre det i tunnel mode efter som
de
> > siger de fleste produkter per default gør det? , et bud på en freeware
af
> > denne kaliber der kan snakke op imod en racoon VPN server ville heller
ikke
> > være af vejen :)
>
> Jeg søgte lidt og fandt dette:
> http://asherah.dyndns.org/~josh/ipsec-howto.txt
>
> Det bekræfter
> - At man kan køre det som 3DES/MD5/tunnel (og uden AH)
> - At man kan bruge W2Ks indbyggede IPSec.
> - At Racoon er en IKE-server
Smukt! :)
Jeg siger mange tak så da!
/Dennis
| |
bs (16-01-2002)
| Kommentar Fra : bs |
Dato : 16-01-02 11:08 |
|
Med hensyn til terminering:
Her jeg forstået af det rigtigt af denne tråd. at man kan diskutere om VPN
skal termineres i DMZ-zonen eller inde i LAN... (jeg kan se dine argumenter
med at sætte det i DMZ)...
Kan man konkludere at man ikke bør sætte VPN-boksen op på ydresiden af
Firewallen (ud mod WAN) eller er der også nogen som hælder til den
opfattelse!
> Du mener som alternativ til AH?
Ja.
> Man kan tage en lang (og kedelig)
> diskussion om AH er nødvendigt eller overhovedet en fordel. Den
> hører nok mere naturligt til i dk.edb.sikkerhed.
For mig, som ikke er særlig kompetent på dette område (men særdeles
nysgerrig) vil diskussionen ikke være kedelig.... Måske vil sikkerhedsfolk
finde den kedelig... men jeg vover alligevel at spørge i dk.edb.sikkerhed
---- jeg kan kun blive klogere!
Jeg har i øvrigt nok et spm. mere om DMZ (logisk / fysisk)... den starter
jeg også i
dk.edb.sikkerhed
Tak for din hjkælp!
Hilsen
Benny
| |
Asbjorn Hojmark (17-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 17-01-02 00:11 |
|
On Wed, 16 Jan 2002 11:08:19 +0100, "bs" <bs@nospam.tak> wrote:
> Kan man konkludere at man ikke bør sætte VPN-boksen op på ydresiden af
> Firewallen (ud mod WAN) eller er der også nogen som hælder til den
> opfattelse!
Jeg tror ikke, jeg har set nogen anbefale det. Et (potentielt,
teoretisk) problem er, at trafikken så vil være ukrypteret fra
VPN-boxen til firewallen, samt at man vil skulle åbne for en
mængde protokoller ind over firewallen, i stedet for blot IPSec.
>> Du mener som alternativ til AH?
> Ja.
ESP indeholde faktisk authentication (fx. MD5 eller SHA-1).
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
bs (15-01-2002)
| Kommentar Fra : bs |
Dato : 15-01-02 20:22 |
|
> PPTP kører TCP/1723 *plus* en GRE-tunnel.
Lige et spm. mere:
Hvorfor en GRE-tunnel?
| |
Asbjorn Hojmark (15-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-01-02 23:52 |
|
On Tue, 15 Jan 2002 20:22:27 +0100, "bs" <bs@nospam.tak> wrote:
>> PPTP kører TCP/1723 *plus* en GRE-tunnel.
> Hvorfor en GRE-tunnel?
Øhm, hvorfor ikke? GRE er en standardiseret måde at lave en
tunnel over IP, så hvis man har brug for en tunnel, så er det jo
oplagt at bruge noget der findes i forvejen.
Jeg tror ikke jeg forstår spørgsmålet.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
bs (16-01-2002)
| Kommentar Fra : bs |
Dato : 16-01-02 11:43 |
|
Øhhhmmm sorry: Jeg forstår godt at du ikke forstår spm: Jeg er bare så
dødforvirret af alle de protokoller... (fremgår vist også af en anden
tråd)...
Lad mig prøve at ridse min uvidenhed op... måske kan en-eller-anden prøve at
opklare noget. Jeg tæmker meget i en lagdelt model...
men det kan godt være, at det er dér kæden hopper af.
Hør lige her hvor lidt jeg ved...
Man har en IP-pakke som man gerne vil sende fra A til B.
Ip-pakken pakkes (A) ind i en særlig IPsec-pakke, som er en standard for
kryptering og/eller autentifikation.
Her kan man så vælge mellem forskellige kryptyeringsmetoder (DES, 3DES, AES)
Man kan oghså vælge forskellige aut.metoder: MD4, MD5, SHA-1
Så forvirrer det lidt at man også kan køre tunnel-mode / AH-mode i IP-sec...
men det kan man jo så vælge... og jeg kan jo se, at der bør man kører i
tunnel-mode!
Nu bliver IP-sec-pakken så pakket ind i en alm. pakke og sendt ned igennem
stakken til lag 2 (Mac-niveau)... her skal den så gøres klar til at blive
sendt videre ud på.
Men her kan man skal man så vælge forskellige tunneler: Der er noget der
hedder
L2TP og der noget der hedder L2F og der noget der hedder PPTP og der noget
der hedder GRE.
(På dette lag - lag 2 - synes jeg så PPTP burde ligge... men det er ikke
logisk i forhold til at IPsec og PPTP er to alternativer... Så derfor holder
jeg PPTP ude i første omgang)
Pakken skal altså ned på lag 2 i en GRE-tunnel eller i en L2TP eller ...???
Men hvorfor egentlig køre en speciel tunnel på de nedre lag... IP-pakken er
jo krypteret osv. Hvad sker der præcist i GRE eller L2TP ... er det nogle
bestemte rammer eller ???
Se, så er der jo PPTP... Det kan man så vælge som alternativ til IP-sec.
Dog har jeg set en figur i noget materiale hvor PPTP er tegnet ind på lag2
og
IPSec på lag 3!
Nå, men PPTP er jo så en metode som Microsoft sammen med andre prodicenter
har opfundet...
Skal man så også her tage stilling til kryptering-metoder (ex. DES) og
aut.metoder
(ex. MD5)...
Kan man med PPTP vælge forskellige krypt.metoder/aut.metoder.. eller kører
denne protokol sin egen metode?
Skal man med PPTP vælge forskellige tunnel-måder eller kører den altid en
GRE-tunnel!
Se... jeg er, som I kan læse død-forvirret:
Der er masser af materiale på Internettet, men hvorfor er der ikke en let
"kom-i-gang-med-sikkerhed" bog (i stil med IDG-hæfte eller lignende) ????
I det hele taget kan man læse meget om mange forskellige
metoder/protokoller, men for en nybegynder er det lidt svært at se
sammenhængen/forudsætningen mellem de forskellige metoder/protokoller!
Jeg er forvirret ........
Som du (Asbjørn) skrev i en anden tråd... så hører emnet nok mere hjemme i
dk.edb.sikkerhed...
Jeg ved ikke om jeg bare måp FUT'te (er ret ny på NG) - så jeg starter en ny
tråd der!
Sidebemærkning: Jeg spurgte en konsulent på et tidspunkt (han var vist mere
sælger end konsulent...) og han sagde, at det skulle heg altså ikke
spekulere så meget på,
for bare man kørte IP-sec, så var krypteringen sikker
(Han kunne ligeså godt have solgt PC'ere i FONA... ikke fordi jeg har noget
imod FONA!)
Mange hilsner
Benny!
| |
Asbjorn Hojmark (17-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 17-01-02 00:21 |
|
On Wed, 16 Jan 2002 11:43:00 +0100, "bs" <bs@nospam.tak> wrote:
> Men her kan man skal man så vælge forskellige tunneler: Der er
> noget der hedder L2TP og der noget der hedder L2F og der noget
> der hedder PPTP og der noget der hedder GRE.
Typisk kører man ikke IPSec oven i PPTP. Når man bruger PPTP (og
ønsker kryptering) sker det typisk med MPPE.
Og strengt taget er det heller ikke givet, at man kører IPSec i
L2TP. Faktisk vil det ofte være omvendt.
> Men hvorfor egentlig køre en speciel tunnel på de nedre lag...
Nå, nu tror jeg, jeg forstår spørgsmålet.
Man kan vælge at køre en tunnel som GRE mellem to systemer, fordi
man ønsker at bære ét IP-netværk over et andet. Det kunne eksem-
pelvis være fordi man vil køre en routing-protokol (som fx. OSPF)
over et andet netværk (som fx. Internet)
Og strengt taget vil man nok ikke køre IPSec over GRE, men der-
imod GRE over IPSec. Det vil altså være tunneltrafik i tunnel-
trafik.
> Se, så er der jo PPTP... Det kan man så vælge som alternativ til IP-sec.
> Dog har jeg set en figur i noget materiale hvor PPTP er tegnet ind på lag2
> og IPSec på lag 3!
Som sagt: Hæng dig ikke for meget i OSI-modellen. Man bygger ikke
netværk efter OSI-modellen.
> Kan man med PPTP vælge forskellige krypt.metoder/aut.metoder.. eller kører
> denne protokol sin egen metode?
Man kan i praksis vælge MPPE eller ingenting. Principielt kunne
man godt bruge andre protokoller.
> Skal man med PPTP vælge forskellige tunnel-måder eller kører den altid en
> GRE-tunnel!
PPTP er en TCP-forbindelse til dynamisk forhandling af opsætning
af tunnelen samt GRE der så udgør tunnelen.
> Se... jeg er, som I kan læse død-forvirret:
Det er der god grund til. Det er et kæmpe emne.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Lars Kim Lund (18-01-2002)
| Kommentar Fra : Lars Kim Lund |
Dato : 18-01-02 20:00 |
|
Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>
>> Men her kan man skal man så vælge forskellige tunneler: Der er
>> noget der hedder L2TP og der noget der hedder L2F og der noget
>> der hedder PPTP og der noget der hedder GRE.
>
>Typisk kører man ikke IPSec oven i PPTP. Når man bruger PPTP (og
>ønsker kryptering) sker det typisk med MPPE.
l2tp mener du vist (som du også skriver efterfølgende)
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Asbjorn Hojmark (15-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-01-02 00:18 |
|
On 14 Jan 2002 07:41:43 -0800, beny_sorensen@hotmail.com (bs)
wrote:
> Jeg kan ikke rigtigt huske om det var her på denne NG, men er der
> nogle gennerelle problemer med VPN i forbindelse med Firewall ?
Routeren skal forstå den slags VPN man laver. Hvis man vælger
PPTP skal routerens NAT fx forstå PPTP. Hvis man vælger IPSec kan
man ikke køre med AH og/eller i transport mode.
> Hvor placerer man VPN-end-point
Det afhænger lidt af, hvad det er man terminerer det på. Det kan
være routeren, en evt. firewall, en VPN-concentrator, eller det
kan være en server.
Og det afhænger af, hvilket niveau af sikkerhed man har brug for,
hvilken type firewall etc.
En god placering, hvis man har en flerbenet firewall, vil ofte
være at smide VPN-trafikken ud på ét DMZ-ben, hvor det så
termineres, og så tage den dekrypterede trafik ind ad et andet
DMZ-ben. Det giver god kontrol og (afhængig af firewallen) gode
logging-muligheder.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Jumbo (05-02-2002)
| Kommentar Fra : Jumbo |
Dato : 05-02-02 23:27 |
|
Hvorfor ikke bare vælge en FW der også kan håndtere VPN klienter, såsom
SonicWALL eller (Veloci)Raptor eller ....
/Jumbo
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:rhp64ug4dg1l0v0g853dk7kgn4tua5o7s7@news.worldonline.dk...
> On 14 Jan 2002 07:41:43 -0800, beny_sorensen@hotmail.com (bs)
> wrote:
>
> > Jeg kan ikke rigtigt huske om det var her på denne NG, men er der
> > nogle gennerelle problemer med VPN i forbindelse med Firewall ?
>
> Routeren skal forstå den slags VPN man laver. Hvis man vælger
> PPTP skal routerens NAT fx forstå PPTP. Hvis man vælger IPSec kan
> man ikke køre med AH og/eller i transport mode.
>
> > Hvor placerer man VPN-end-point
>
> Det afhænger lidt af, hvad det er man terminerer det på. Det kan
> være routeren, en evt. firewall, en VPN-concentrator, eller det
> kan være en server.
>
> Og det afhænger af, hvilket niveau af sikkerhed man har brug for,
> hvilken type firewall etc.
>
> En god placering, hvis man har en flerbenet firewall, vil ofte
> være at smide VPN-trafikken ud på ét DMZ-ben, hvor det så
> termineres, og så tage den dekrypterede trafik ind ad et andet
> DMZ-ben. Det giver god kontrol og (afhængig af firewallen) gode
> logging-muligheder.
>
> -A
> --
> Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon
Postel
> Links : http://www.hojmark.org/networking/
> FAQ : http://www.net-faq.dk/
| |
Christian E. Lysel (06-02-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-02-02 00:08 |
|
Jumbo wrote:
> Hvorfor ikke bare vælge en FW der også kan håndtere VPN klienter, såsom
> SonicWALL eller (Veloci)Raptor eller ....
VPN funktionen i Raptor kan være meget dyr. Dog er det en rigtig god
klient der følger med, i forhold til mange af konkurrenterne.
Den bedste løsning (se fra firewallens side) er altid at holde
firewallen minimal.
Man kan dog hurtigt midste nogle fordele, bla. vil en Raptor med VPN
bruger terminieret på den selv, kunne implementere nogle avanceret
regler på applikations- og bruger-niveau.
Både sonicwall og raptor'en understøtter ikke indpakning af VPN
traffiken i UDP, således at nogle NAT problemer kan undgåes, da både
løsninger er IPSec kompliance, og standarden endnu ikke er udvidet med
undstøttelse for indpakning.
| |
Asbjorn Hojmark (06-02-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 06-02-02 01:16 |
|
On Wed, 06 Feb 2002 00:08:02 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:
> Både sonicwall og raptor'en understøtter ikke indpakning af VPN
> traffiken i UDP, således at nogle NAT problemer kan undgåes, da
> både løsninger er IPSec kompliance, og standarden endnu ikke er
> udvidet med undstøttelse for indpakning.
Nu kan man jo diskutere længe, hvad der egentlig menes med stan-
dard. Det er rigtigt, at IPSec over UDP ikke er i Internet
standards track, men det samme kan man jo sige om andre dele af
IPSec-familien.
Der er dog en ID på IPSec over UDP:
ftp://ftp.isi.edu/in-notes/search.ietf.org/internet-drafts/draft-ietf-ipsec-udp-encaps-01.txt
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Asbjorn Hojmark (06-02-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 06-02-02 00:12 |
|
On Tue, 5 Feb 2002 23:26:39 +0100, "Jumbo" <hautopp@hotmail.com>
wrote:
> Hvorfor ikke bare vælge en FW der også kan håndtere VPN klienter,
Det er da også en mulighed. Nogle steder foretrækker man at holde
de to funktioner (firewall og VPN-koncentrator) adskilt af prin-
cipielle grunde, ofte er det management-mæssige fordele ved dedi-
kerede koncentratorer, og nogle gange ønsker man simpelthen den
bedste box til opgaven.
> såsom SonicWALL eller (Veloci)Raptor eller ....
Cisco PIX, Check Point FireWall-1/VPN-1, NetScreen etc. etc.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Jens (06-02-2002)
| Kommentar Fra : Jens |
Dato : 06-02-02 01:34 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:cap06uk3vm8ouc8661lhaqs85qpia6t81k@news.worldonline.dk...
>
> > såsom SonicWALL eller (Veloci)Raptor eller ....
>
> Cisco PIX, Check Point FireWall-1/VPN-1, NetScreen etc. etc.
WatchGuard FireBox.......
Jens
| |
Arne Keller (06-02-2002)
| Kommentar Fra : Arne Keller |
Dato : 06-02-02 09:58 |
|
On Wed, 6 Feb 2002 01:34:14 +0100, "Jens" <jens@_NOSPAM_get2net.dk>
wrote:
>"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
>news:cap06uk3vm8ouc8661lhaqs85qpia6t81k@news.worldonline.dk...
>>
>> > såsom SonicWALL eller (Veloci)Raptor eller ....
>>
>> Cisco PIX, Check Point FireWall-1/VPN-1, NetScreen etc. etc.
>
>WatchGuard FireBox.......
>
Avaya VPNet
http://www1.avaya.com/enterprise/who/docs/vsugateways/prodphotos.html
..........
--
Arne Keller
Jeg udtaler mig, på usenet, alene på egne vegne.
| |
Asbjorn Hojmark (06-02-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 06-02-02 10:08 |
| | |
Arne Keller (06-02-2002)
| Kommentar Fra : Arne Keller |
Dato : 06-02-02 10:24 |
|
On Wed, 06 Feb 2002 10:07:58 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:
>On Wed, 06 Feb 2002 08:58:09 GMT, arne@kellernet.org (Arne
>Keller) wrote:
>
>> Avaya VPNet
>> http://www1.avaya.com/enterprise/who/docs/vsugateways/prodphotos.html
>
>Det er da, så vidt jeg kan se, netop *ikke* en firewall med VPN-
>funktionalitet. Det var de andre boxe, der blev nævnt.
>
Sorry, du har ret.
Så læset jeg ikke hvad i skrev, det er sket før
--
Arne Keller
Jeg udtaler mig, på usenet, alene på egne vegne.
| |
|
|