/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
VPN bag firewall
Fra : Søren L.


Dato : 04-01-02 22:56

Hej.

Vi har her i firmaet lige købt en VPN boks og den bliver kun brugt til VPN
til intranet (altså ikke NAT, firewall eller andet). Hvad er argumentet for
at sætte den bag en firewall? Jeg kan ikke umiddelbart se nogen grund til
det.

Hilsen Søren



 
 
Jesper Angelo (05-01-2002)
Kommentar
Fra : Jesper Angelo


Dato : 05-01-02 04:13

For at bevare point-of-entry eet sted.

Ellers får du:

Hacker
*
*
*
**********************
* *
* *
* *
VPN Firewall
* *
* *
* *
**********************
*
*
*
LAN


Altså to mulige indgange. Da du/man/nogen til dagligt vil fokuserer på FW,
kan man let glemme at holde øje med VPN (og ikke mindst, daglig opdatere den
med patches). Med tiden risikere man altså at sikkerheden degraderes. Hvis
du derudover kører f.eks CiscoOS eller Linux på FW og f.eks. en NT baseret
VPN server, har hackeren valget mellem to miljøer, når vedkommende vil
prøve.

Ved at sætte VPN bag FW, kan man fokuserer på FW, og kun skulle holde øje
med evt. huller og patches til VPN serverens VPN del.

Hvis du hver dag troskyldigt gennemgår _begge_ maskiner og holder dem ved
lige, er der intet i vejen for at have to FWs (VPN boksen ER per definition
pga. positionen i ovenstående en FW).





"Søren L." <unknown@nowehere.com> skrev i en meddelelse
news:3c36250a$0$89073$edfadb0f@dspool01.news.tele.dk...
> Hej.
>
> Vi har her i firmaet lige købt en VPN boks og den bliver kun brugt til VPN
> til intranet (altså ikke NAT, firewall eller andet). Hvad er argumentet
for
> at sætte den bag en firewall? Jeg kan ikke umiddelbart se nogen grund til
> det.
>
> Hilsen Søren
>
>



Kasper Dupont (05-01-2002)
Kommentar
Fra : Kasper Dupont


Dato : 05-01-02 08:22

Jesper Angelo wrote:
>
> For at bevare point-of-entry eet sted.
>
> Ellers får du:
>
> Hacker
> *
> *
> *
> **********************
> * *
> * *
> * *
> VPN Firewall
> * *
> * *
> * *
> **********************
> *
> *
> *
> LAN

Et alternativ ville være:

Internet
|
+------############
####### # # evt. DMZ
# VPN # # Firewall #------------
####### # #
+------############
|
LAN

På den måde får firewallen mulighed for at sikre lokalnettet
meget godt mod fejl i VPN boksen. Men hvis man vælger denne
løsning skal man være opmærksom på to ting:

- Man skal være ekstra omhyggelig med opsætning af firewallen
der jo nødvendigvis kræver et mere compliceret regelsæt.
- Man må ikke glemme sikkerheden på VPN boksen. Den er ikke
helt så kritisk som før, men den er bestemt ikke ligegyldig.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

Christian E. Lysel (05-01-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-01-02 13:42

Søren L. wrote:

> Hej.
>
> Vi har her i firmaet lige købt en VPN boks og den bliver kun brugt til VPN
> til intranet (altså ikke NAT, firewall eller andet). Hvad er argumentet for
> at sætte den bag en firewall? Jeg kan ikke umiddelbart se nogen grund til
> det.


Har du ikke selv skrevet svaret? :)

Du har købt en VPN boks og _ikke_ en firewall, derfor skal den beskyttes
af en firewall, hvis du ikke stoler på boksens sikkerhed.

Hvis nu du gik ud og købte en webserver, ville du så også stille den
mellem Internet og LAN'et?


Hvis det intranet ikke har noget at gører med resten af dit net, og der
ikke er vigtige oplysninger på intranettet, har du ret.


Søg
Reklame
Statistik
Spørgsmål : 177553
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste