|
| Sikkerhed i forbindelse med PPPoE Fra : Henning Petersen |
Dato : 08-05-02 00:06 |
|
Davs!
Jeg sidder i dag med en Sonofon FWA forbindelse, hvor min server
sidder som gateway til nettet. Pt har jeg to netkort i serveren, men
iforbindelse med at Sonofon skifter til PPPoE overvejer jeg at koble
CPE-boxen direkte på mit LAN, men hvordan er de sikkerhedsmæssige
aspekter ved det?
Vil man kunne komme fra udefra, og ind på mt LAN til en af mine
arbejdsstationer, uden at skulle knække serveren først, og bruge den
som springbrædt?
- flere spørgsmål kommer nok
--
Venlig hilsen / Best regards
Henning
_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg
| |
Bo Simonsen (08-05-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 08-05-02 22:17 |
|
On Wed, 08 May 2002 01:05:57 +0200, Henning Petersen wrote:
> Davs!
>
> Jeg sidder i dag med en Sonofon FWA forbindelse, hvor min server sidder
> som gateway til nettet. Pt har jeg to netkort i serveren, men
> iforbindelse med at Sonofon skifter til PPPoE overvejer jeg at koble
> CPE-boxen direkte på mit LAN, men hvordan er de sikkerhedsmæssige
> aspekter ved det?
Har du tænkter dig at køre flere PPPoE sessioner?
Tror jeg næppe Sonofon vil blive glad for. Jeg anbefaler at du stadig
lader din server køre som gateway.
Hvis jeg svarer på noget forkert, må du formulere dig lidt mere præcist.
--
Med venlig hilsen
Bo Simonsen
Join the GNU generation
| |
Henning Petersen (09-05-2002)
| Kommentar Fra : Henning Petersen |
Dato : 09-05-02 07:44 |
|
On Wed, 08 May 2002 23:16:39 +0200, Bo Simonsen <paltas@geekworld.dk>
wrote:
> Har du tænkter dig at køre flere PPPoE sessioner?
Jeps.
> Tror jeg næppe Sonofon vil blive glad for.
Det er nu ikke noget problem, jeg har købt to statiske IP'er, og får
to dynamiske gratis med i pakken (regner jeg med)
> Jeg anbefaler at du stadig
> lader din server køre som gateway.
Det var nu også planen, da jeg skal ha' en hel del maskiner online.
> Hvis jeg svarer på noget forkert, må du formulere dig lidt mere præcist.
Jeg er en lille smule nervøs ved at koble min CPE-boks direkte på mit
LAN - er det 100% umuligt at komme ind fra nettet til mit LAN uden at
gå via (en af) min(e) PPPoE sessioner?
At man kan gå ind via PPPoE er klart, og det skal der selvfølgelig
lukkes for med firewalls, det er klart.
Pt hvor jeg kobler op med DHCP, har jeg kun serveren tilsluttet
CPE-boksen, og derfor er det kun serveren som kan udsættes for
hacking. Det samme vil selvfølgelig være tilfældet med de maskiner som
terminerer en PPPoE session i min ende fremover. Men er der noget
risiko for de andre maskiner som sidder på LAN?
--
Venlig hilsen / Best regards
Henning
_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg
| |
Kent Friis (09-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 09-05-02 08:07 |
|
Den Thu, 09 May 2002 08:43:54 +0200 skrev Henning Petersen:
>On Wed, 08 May 2002 23:16:39 +0200, Bo Simonsen <paltas@geekworld.dk>
>wrote:
>
>> Har du tænkter dig at køre flere PPPoE sessioner?
>
>Jeps.
>
>> Tror jeg næppe Sonofon vil blive glad for.
>
>Det er nu ikke noget problem, jeg har købt to statiske IP'er, og får
>to dynamiske gratis med i pakken (regner jeg med)
Og de to IP'er routes til samme interface. Det burde rent teknisk slet
ikke kunne lade sig gøre at køre flere PPPoE sessioner, medmindre de
er sat op som to separate forbindelser i den anden ende.
>> Jeg anbefaler at du stadig
>> lader din server køre som gateway.
>
>Det var nu også planen, da jeg skal ha' en hel del maskiner online.
>
>> Hvis jeg svarer på noget forkert, må du formulere dig lidt mere præcist.
>
>Jeg er en lille smule nervøs ved at koble min CPE-boks direkte på mit
>LAN - er det 100% umuligt at komme ind fra nettet til mit LAN uden at
>gå via (en af) min(e) PPPoE sessioner?
Umiddelbart vil jeg mene at den løsning er ret sikker. PPPoE er en
tunnel, og kræver et program i den anden ende til at "un-tunnele"
pakkerne. Så hvis Sonofon garanterer at de kun kører PPPoE, så skulle
du være sikker. Den enste måde at komme forbi på, er så vidt jeg kan
se, hvis nogen får overtaget routeren i den anden ende, så de kan route
trafikken uden om PPPoE.
Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy
| |
Henning Petersen (09-05-2002)
| Kommentar Fra : Henning Petersen |
Dato : 09-05-02 21:00 |
|
On Thu, 9 May 2002 07:07:16 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:
> Og de to IP'er routes til samme interface.
Muligvis - det har jeg ikke besluttet mig for endnu.
> Det burde rent teknisk slet
> ikke kunne lade sig gøre at køre flere PPPoE sessioner, medmindre de
> er sat op som to separate forbindelser i den anden ende.
Jeg har i anden sammenhæng kigger lidt på spec for Zyxelk P310/314, og
de kan begge køre multi PPPoE, men jeg ved selvfølgelig ikke om de
laver noget gnyf a'la emulering af flere mac-adresser eller lignende.
Men der er jo ikke problemer i at lave tunneler fra 3-4-mange maskiner
samtidig, men jeg går ud fra at du mener etableringen af flere
tunneler til den samme maskine/interface
Jeg har ikke umiddelbart planer om at etablere flere PPPoE sessions
til den samme maskine, men i visse specielle situationer kunne jeg
godt se en fordel i at gøre det.
> Umiddelbart vil jeg mene at den løsning er ret sikker. PPPoE er en
> tunnel, og kræver et program i den anden ende til at "un-tunnele"
> pakkerne.
Ok.
> Så hvis Sonofon garanterer at de kun kører PPPoE, så skulle
> du være sikker. Den enste måde at komme forbi på, er så vidt jeg kan
> se, hvis nogen får overtaget routeren i den anden ende, så de kan route
> trafikken uden om PPPoE.
Ok.
--
Venlig hilsen / Best regards
Henning
_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg
| |
Kent Friis (09-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 09-05-02 22:13 |
|
Den Thu, 09 May 2002 21:59:35 +0200 skrev Henning Petersen:
>On Thu, 9 May 2002 07:07:16 +0000 (UTC), leeloo@phreaker.net (Kent
>Friis) wrote:
>
>> Og de to IP'er routes til samme interface.
>
>Muligvis - det har jeg ikke besluttet mig for endnu.
>
>> Det burde rent teknisk slet
>> ikke kunne lade sig gøre at køre flere PPPoE sessioner, medmindre de
>> er sat op som to separate forbindelser i den anden ende.
>
>Jeg har i anden sammenhæng kigger lidt på spec for Zyxelk P310/314, og
>de kan begge køre multi PPPoE, men jeg ved selvfølgelig ikke om de
>laver noget gnyf a'la emulering af flere mac-adresser eller lignende.
>
>Men der er jo ikke problemer i at lave tunneler fra 3-4-mange maskiner
>samtidig, men jeg går ud fra at du mener etableringen af flere
>tunneler til den samme maskine/interface
Egentlig gik jeg ud fra et abonnement = en PPPoE tunnel = et sæt
ip-adresser. Men ok, hvis de kører det som et almindeligt dial-in,
så er der nok ingen problemer.
Mvh
Kent
--
Exception 0E in module IFSMGR.VXD
Press control-alt-delete to reboot
| |
Henning Petersen (12-05-2002)
| Kommentar Fra : Henning Petersen |
Dato : 12-05-02 00:11 |
|
On Thu, 9 May 2002 21:13:11 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:
> Egentlig gik jeg ud fra et abonnement = en PPPoE tunnel = et sæt
> ip-adresser. Men ok, hvis de kører det som et almindeligt dial-in,
> så er der nok ingen problemer.
Ok, så er vi enige.
--
Venlig hilsen / Best regards
Henning
_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg
| |
|
|