/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Terminerng af VPN? Hvorfor i DMZ.
Fra : Anders Tjerke Hansen


Dato : 12-02-02 10:44

Jeg har før på NG spurgt, hvor man bør terminere VPN!

Der kom indlæg, som påpegede at terminering burde foregå i DMZ.

Jeg kan sagtens se, at VPN ikke bør termineres på ydersiden af firewallen.

Men hvorfor egentlig ikke helt på indersiden af firewallen...?

Hvilken risiko er der ved at terminere på indersiden i forhold til at
terminere VPN i DMZ ?


Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup






 
 
Christian E. Lysel (12-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 12-02-02 11:35

Anders Tjerke Hansen wrote:

> Jeg har før på NG spurgt, hvor man bør terminere VPN!
>
> Der kom indlæg, som påpegede at terminering burde foregå i DMZ.
>
> Jeg kan sagtens se, at VPN ikke bør termineres på ydersiden af firewallen.
>
> Men hvorfor egentlig ikke helt på indersiden af firewallen...?


Hvis VPN brugerne skal have fuld adgang til det lokale net er der ikke
en grund til at terminiere dem i DMZ, udover du måske gerne vil logge
deres netværkstrafik


> Hvilken risiko er der ved at terminere på indersiden i forhold til at
> terminere VPN i DMZ ?


Du kan styrer hvad de må på det interne net, fx kun tilgå Citrix
serveren med citrix protokollen :)


Kasper Dupont (12-02-2002)
Kommentar
Fra : Kasper Dupont


Dato : 12-02-02 11:57

Anders Tjerke Hansen wrote:
>
> Jeg har før på NG spurgt, hvor man bør terminere VPN!
>
> Der kom indlæg, som påpegede at terminering burde foregå i DMZ.
>
> Jeg kan sagtens se, at VPN ikke bør termineres på ydersiden af firewallen.
>
> Men hvorfor egentlig ikke helt på indersiden af firewallen...?
>
> Hvilken risiko er der ved at terminere på indersiden i forhold til at
> terminere VPN i DMZ ?

Hvis dit VPN system bliver kompromiteret kan du stadig logge
trafikken i firewallen, og evt. begrænse noget af trafikken.
Det kræver naturligvis, at du har en pålidelig firewall.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

Povl H. Pedersen (12-02-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 12-02-02 23:21

On Tue, 12 Feb 2002 10:43:34 +0100,
Anders Tjerke Hansen <jdksl@hfjakla.dk> wrote:
> Jeg har før på NG spurgt, hvor man bør terminere VPN!
>
> Der kom indlæg, som påpegede at terminering burde foregå i DMZ.

Korrekt.

> Jeg kan sagtens se, at VPN ikke bør termineres på ydersiden af firewallen.
>
> Men hvorfor egentlig ikke helt på indersiden af firewallen...?

Hvis du terminerer den på indersiden, så vil en VPN tunnel være
fuldt åben. Ofte ønsker man at VPN brugere kun har adgang til
specifikke services, som f.eks. Citrix, og måske mail/kalender.

Dette kan firewall'en sørge for. Der er ingen grund til at din maskine
skal have en IP adresse på indersiden.

Sikkerhed går ud på at spærre for så meget der er praktisk muligt
uden at at det går udover anvendelsen af de systemer der skal
anvendes. Man må leve med at nogle af brugerne råber alt for højt,
f.eks. over at de ikke kan installere Kazaa erc. på maskinerne.

> Hvilken risiko er der ved at terminere på indersiden i forhold til at
> terminere VPN i DMZ ?

Som sagt, en hacker der kommer ind har adgang til alle services, og
ikke kun adgang til f.eks. nogle få services. De services der er adgang
til fra DMZ bør være hardened, og så up-to-date som man nu tør være.

Om man så skal tillade bærbare computere at komme på lokalnettet
når de er inde i virksomheden er en helt anden diskussion.


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste