/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Sikkerhed af 'tunnel' vha ACL's i PIX'e
Fra : Martin Jensen


Dato : 19-11-03 11:17

Hejsa gruppe,

Scenario:

Vi har:
- Et kraftigt internt redundant IP net (LAN/WAN), som ejes af Firma A, og
spreder sig over flere lokationer.
- Firma B (som er i samme koncern) vil gerne udnytte firma A's LAN/WAN,
istedet for at oprette seperate linier til steder der allerede er
koncern-net til.
- Firma B's computere må ikke kunne snakke med A's computere, og omvendt.
- Firma B vil kun have få computere, som er statiske i natur. Få ændringer
forventes.
- Flere end to 'firma B' lokationer kommer på hvis dette forslag ikke
gennemhulles.
- Kun intern produktions-trafik vil forekomme på B's net. Ingen behov for
Kindernet adgang.

Jeg har som forsøg sat to PIX'e op inde midt i nettet. Bag dem har jeg lavet
private net, og sat B's computere op, og mappet ranges ned. Jeg har vha
ACL's givet computerne bag den ene PIX adgang til at snakke med den anden
PIX's range, og omvendt. Til slut en regel der forbyder snake med andet.

Min formulering er vag, så jeg forsøger med en tegning:

|--PIX1------ Firma A's net -------PIX2-----|
| |
---- ----
Firma B's Firma B's

IP adresser bag Pix1 kan kommunikere med Pix2's range (som mappes ned)
IP adresser bag Pix2 kan kommunikere med Pix1's range (som mappes ned)
PIX1 og 2 kan ikke kommunikere med andet. (Hverken indefra og ud eller
udefra og ind).

Jeg har testet at logikken holder stik (ved at forsøge kommunikation i strid
med reglerne); men nu kommer spørgsmålet: Holder det egentlig stik? Overser
jeg en mulighed for kommunikation, eller er dette i praksis en uenkrypteret
tunnel?

Jeg vil med dette setup ikke beskytte mig mod MAITM angreb, og sniffing er
heller ikke et issue, det er mest orme og andre ting 'on the loose' jeg
frygter.

Vil UltraBlaster være i stand til at bryde ned i firma B's net, fra Firma
A's net, forudsat den slippes løs på A's net? Vil en orm sluppet løs i B's
net, fra det ene firma B net kunne smitte ud i A's net, eller vil det som
håbet kun kunne ramme Firma B's andet net? Jeg kan ikke selv se hvordan, men
vil lige høre Jeres mening.

Jeg er ikke interesseret i en løsning baseret på VPN tunneller mellem
PIX'ene grundet politik og økonomi.

Hvad siger I?

Mvh Martin Jensen



 
 
Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408936
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste