In article <87pCb.57603$jf4.3324583@news000.worldonline.dk>, Henrik Rask Mortensen wrote:
> Christian E. Lysel skrev bl.a.:
>
>> ZyWall er jeg personligt ikke særlig glad for, grunden
>> hertil ligger i en test jeg selv lavede, hvor jeg
>> efter 5 min, kunne downloade konfigurationsfilen fra
>> LAN'et (dette kan fx udnyttes af en "defekt" internet
>> explorer), efter 5 min havde jeg fundet et hul i IPsec
>> implementationen (VPN).
> Hmmm - kan du dokumentere din påstand ?
Hmmm, er du lidt blå øjet?
Prøv at kik i den dokumentation der følger med firmwaren, her er nogle
eksempler:
zywall1_V3.50(WD.5)C0_Standard.zip
[BUG FIXED] Sympton: The system will allow the packet with DF=1
and packet length > MTU to pass through the router without any
error message return to the sender.
[BUG FIXED] The IP address of the SNMP trap message is always
the LAN side IP address of ZW
[BUG FIXED] CI command, "sys syslog server ...." and
"sys syslog facility..." don't work.
[BUG FIXED] When the ZyWALL device receives the TCP datagram
with SYN and ACK bits, the corresponding remote managements
service would crash.
[BUG FIXED] Fixed the bug of the aggressive mode of IPSec IKE.
[BUG FIXED] The bug of remote management tunnel.
[BUG FIXED] NAT/SUA problem on PPPoE dynamic WAN IP situation.
[BUG FIXED] Fragment Packets(with DF flag) can not pass NAT.
[BUG FIXED] Turn on Remote Managements on WAN side will cause Firewall holes.
[ENHANCEMENT] VPN LOG is totally revised. Now it will show all
IKE packets information.
[ENHANCEMENT] IKE process in phase 2 will check ID information between
system and the peer. If they don't match, i.e. both sites have different
local / remote Addr setting, system will reject the connection and log
in the VPN LOG.
[BUG FIX] When two peers initiate connections at the same time in
some special cases, the two peers will reject each other and on
tunnel can be established.
[BUG FIX] When building the tunnel, sometimes system will crash.
[BUG FIXED] Continue pinging through VPN tunnel will cause the connection
unstable.
[BUG FIXED] When a SA time-out happened and reconnect, sometimes system
losts some memory
Der er flere fejl der er rettet i 3.50, men jeg gider ikke at liste dem.
> Mig bekendt er Zywall "certificeret" af ICSA labs på lige fod med f.eks.
> Cisco Pix !!
Har du læst certificeringen?
Den kommer ind på mange problemmer, men konklusionen siger bla.,
....ZyXEL generated several new firmware images during testing before
creating one that satisfied the criteria...
Sagt på dansk havde de problemmer med at få den godkendt!
Endvidere bør du kun holde firewallen i den version ICSA godkendte
hvis du skal bruge certificeringen til noget.
> Hvis du kan hive konfigurationen ud af min, har du hermed min tilladelse til
> at prøve - det er en Zywall.
Du misforstår mig, jeg sad med en pakke sniffer og administrerede boksen.
Herved kunne jeg se at konfigurationen kunne hentes fra
http://boks/config (tænkt eksempel, da det er 1 1/2 år siden). For
at kunne administere boksen krævede dette man loggede ind. Men
for at hente
http://boks/config var der ikke noget krav til at
man var logget ind.
Dette er ikke hensigtsmæssigt, da man via din browser vil kunne få
din konfigurationsfil.
Jeg fejlmeldte problemmet, og fik at vide det var en kendt fejl de arbejde
på at løse. Derfor regner jeg med at problemmet er løst.
Du kan evt. prøve at skrive urlen ned når du downloader konfigurationen,
derefter lukke din browser og starte den igen, for at se
om du kan downloade konfigurationen direkte fra URLen uden at
skulle logge på.
> Og ja - jeg benytter den også til VPN så den del kan - og må du - også gerne
> teste.
Det vil jeg prøve på, men ikke nu, måske på lørdag eller søndag, er det
ok?
Sender du oplysninger så jeg kan etablere en VPN forbindelse?
> Min ip-adresse finder du jo nok i dette indlæg - resultatet af din test
> sender du bare til mig, så skal jeg offentliggøre det.
Jeg ved ikke hvad resultatet bliver, da jeg ikke kan se din boks.
> Jeg skal understrege, at jeg IKKE er ansat hos Zyxel eller lignende - jeg
> synes bare det er for billigt, at komme med sådanne påstande uden
> dokumentation. Den har du så lejligheden til, at komme med nu !
Ok.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/