---

Hej!

Jeg har et generelt spm. om en VPN-boks (f.eks. en concentrator) og
terminering!

Jeg har på flere grafiske diagrammer af netværk set, at man har placeret et
VPN-ben på ydersiden ud mod WAN og et VPN-ben på indersiden inde i LAN i
forhold til en Firewall.

For mig at se kører VPN-forbindelser så helt udenom en Firewalls regler og
det kan jeg ikke rigtigt se logikken i.

Måske var der en som kunne forklare lidt om VPN-boks og terminering ?


Christian

---

> Måske var der en som kunne forklare lidt om VPN-boks og terminering ?


Jeg plejer at sætte en firewall op mod WAN. På den firewall's LAN har jeg
min "dmz". I den dmz har jeg alle mulige servere og min VPN server's WAN
ben.

Mod mit lan har jeg en firewall, somregl af andet mærke. Plejer at være en
ISA Server.
Og min VPN server har så den's LAN ben stukket uden om min ISA og lige ind
på mit LAN.

Derved kan jeg sætte firewall regler op for mine VPN brugere når de bruger
min internetforbindelse. :)

Vigtigt er det at de fleste anbefaler at benytte 2 forskellige firewall's.
Så hvis der er hul den ene er der en rimelig chance for at de ikke kommer
helt ind.

Husk blot at ingen firewall er bedere end dens administrator. Og log hellere
for meget end for lidt :)

Overvågning er godt
Kontrol er bedere
Ransagning er bedst,

James R Hansen
james(hos)jemmer.dk
Jemmer Networks

---

> Og log hellere
> for meget end for lidt :)

Jeg forstår godt hvad du mener, men jeg er ikke helt enig!

Hilsen
Carsten

--

Carsten Junker Thomsen
cjt@callisto.dk

Lindevangshusene 40,1.th.
2630 Taastrup
tlf. 43 52 62 00
mobil 26 55 15 80

---

Mit spm. gik ikke på, hvor du synes VPN skal termineres... men hvorfor et
ben på yderside og et på indersiden.........

---

On Wed, 13 Nov 2002 23:21:40 +0100, "Christian Thorsen"
<nospam@hotmail.com> wrote:

> Mit spm. gik ikke på, hvor du synes VPN skal termineres...
> men hvorfor et ben på yderside og et på indersiden.........

Jeg er enig: Hvorfor?

Jeg foretrækker en løsning, hvor man tager VPN ind gennem sin
firewall og smider det ud på et ben på firewall'en, hvor man så
terminerer det. Trafik derfra sendes ind til det interne net via
et andet ben på firewall'en.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Hvorfor er det smart at terminere i DMZ ?
Så skal man jo på inside til at lukke en masse porte op?

Det er sikkert bedre som du skriver, men jeg er lidt nysgerrige for at vide
mere om, hvilke fordele dette skulle give!

Det eneste jeg kan se er en fordel er, at hvis VPN-tunellen bliver
kompromiteret - ja så er der stadig lidt sikkerhed. MEn er ulempen så ikke
at man måske skal åbne en masse porte ind alligevel.

HVis man kan sætte den i DMZ - kan man vel også ligeså godt terminere å
ydersiden - eller hva' ????

Hilsen Christan

---

On Sun, 17 Nov 2002 16:28:58 +0100, "Christian Thorsen"
<nospam@hotmail.com> wrote:

> Hvorfor er det smart at terminere i DMZ ?

Fordi det giver den optimale mulighed for at filtrere og logge
både ud mod koncentratoren og fra den.

> Så skal man jo på inside til at lukke en masse porte op?

Og?

> HVis man kan sætte den i DMZ - kan man vel også ligeså godt terminere å
> ydersiden - eller hva' ????

Næ, for så har du dekrypteret trafik i den mindst sikre zone og
skal tillade en mængde forskellige trafiktyper ind fra den side.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/