/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Valg af Firewall/VPN
Fra : Søren


Dato : 04-05-04 19:05

Hej

Jeg arbejder i en grafisk virksomhed med ca. 30 ansatte. I dag har vi en
lejet Cisco ADSK router fra TDC samet en 4096/768 forbindelse. Vi mailer og
FTP'er en del relativt tunge filer.

Vi vil gerne lave en VPN løsning, således at en 5-6 medarbejdere en gang
imellem kan koble op til firmaet via VPN og komme på vores Navision
økønomisystem. De skal ligeledes have adgang de de fælles drev/mapper som de
har i dag, når de sidder i firmaet.

Alle medarbejder har ADSL på privatadressen.

Jeg har kigget på følgende 2 Firewalls:

Sonicwall TZ170 samt Cisco Pix 506E

Er der nogen af dem som kan anbefales ?


På forhånd tak
Søren


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.676 / Virus Database: 438 - Release Date: 03-05-2004



 
 
Christian E. Lysel (05-05-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 05-05-04 18:55

In article <4097cca4$0$165$edfadb0f@dtext02.news.tele.dk>, Søren wrote:
> Hej

Hej.

> Jeg arbejder i en grafisk virksomhed med ca. 30 ansatte. I dag har vi en
> lejet Cisco ADSK router fra TDC samet en 4096/768 forbindelse. Vi mailer og
> FTP'er en del relativt tunge filer.
>
> Vi vil gerne lave en VPN løsning, således at en 5-6 medarbejdere en gang
> imellem kan koble op til firmaet via VPN og komme på vores Navision
> økønomisystem. De skal ligeledes have adgang de de fælles drev/mapper som de
> har i dag, når de sidder i firmaet.

Du skulle vel ikke have flere krav?

Ellers kan du nøjes med at smide dine servere på Internet og lade
brugerne gå direkte på. :)

> Alle medarbejder har ADSL på privatadressen.

Hvilken?

> Jeg har kigget på følgende 2 Firewalls:

Hvorfor?

> Sonicwall TZ170 samt Cisco Pix 506E
>
> Er der nogen af dem som kan anbefales ?

Så længe der ikke er flere krav, vil alle
opfylde dine krav.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Esben Laursen (09-05-2004)
Kommentar
Fra : Esben Laursen


Dato : 09-05-04 00:39


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:slrnc9iajo.id2.chel@weebo.dmz.spindelnet.dk...
> In article <4097cca4$0$165$edfadb0f@dtext02.news.tele.dk>, Søren wrote:
> > Hej
>
> Hej.
>
> > Jeg arbejder i en grafisk virksomhed med ca. 30 ansatte. I dag har vi en
> > lejet Cisco ADSK router fra TDC samet en 4096/768 forbindelse. Vi mailer
og
> > FTP'er en del relativt tunge filer.
> >
> > Vi vil gerne lave en VPN løsning, således at en 5-6 medarbejdere en gang
> > imellem kan koble op til firmaet via VPN og komme på vores Navision
> > økønomisystem. De skal ligeledes have adgang de de fælles drev/mapper
som de
> > har i dag, når de sidder i firmaet.

Når han nu gerne ville køre Windows netværk, eller en anden ukrypteret
protokol..
Måske vil han ikke have at alle skal have adgang til hans server/netværk.
måske vil han køre site2site vpn?

> Du skulle vel ikke have flere krav?

Er det ikke nok??

> Ellers kan du nøjes med at smide dine servere på Internet og lade
> brugerne gå direkte på. :)

Godt, det blev her med lige et bestem at du _ikke_ skal rådgive mig på mine
netværk/servere..
Det er da nok noget at det dummeste jeg har hørt...

> > Alle medarbejder har ADSL på privatadressen.
>
> Hvilken?

Er det ikke lige gyldigt?

> > Jeg har kigget på følgende 2 Firewalls:
>
> Hvorfor?

Ja vel sagtens for at beskytte sit netværk... Det er der faktisk nogen der
gør... I sær hvis de køre windows =)

> > Sonicwall TZ170 samt Cisco Pix 506E
> >
> > Er der nogen af dem som kan anbefales ?

Jeg kender ikke rigtig nogen af dem, men jeg har altid haft rigtig gode
erfaringer med Cisco, der er ingen tvivl om at du der køber et rigtigt godt
produkt, men der er vist heller ingen trivl om at du også betaler for det..
Faktisk tror jeg ikke det betyder det helt store betydning om du vælger den
ene eller anden, jeg ville (hvis pengene var ligegyldige) vælge en cisco..

Ellers, hvis du ikke har noget imod det lidt alternative, så kik lidt på
Linux, den har jo også det hele, men til 0 kr.

Jeg bruger selv en Debian Linux som firewall/vpn til mit Windows netværk,
hvor jeg også har en Navision på. Det funker uden problemer, og så har jeg
jo alle de VPN klienter jeg har lyst til.... Og en site2site vpn er det da
også blevet til =)

> Så længe der ikke er flere krav, vil alle
> opfylde dine krav.

Her er vi enige...

Hygge

Esben



Christian E. Lysel (09-05-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 09-05-04 20:39

In article <R9enc.2223$9R4.1998@news.get2net.dk>, Esben Laursen wrote:
> Når han nu gerne ville køre Windows netværk, eller en anden ukrypteret
> protokol..
> Måske vil han ikke have at alle skal have adgang til hans server/netværk.
> måske vil han køre site2site vpn?

Måske, måske, sådan kan gætte sig til en kundes behov, man
kan også spørge hvad denne har brug for.

>> Du skulle vel ikke have flere krav?
>
> Er det ikke nok??

Nej, det er næsten svært at få øje på dem.

>> Ellers kan du nøjes med at smide dine servere på Internet og lade
>> brugerne gå direkte på. :)
>
> Godt, det blev her med lige et bestem at du _ikke_ skal rådgive mig på mine
> netværk/servere..

":)" betyder "smil"

> Det er da nok noget at det dummeste jeg har hørt...

Rolig.

>> > Alle medarbejder har ADSL på privatadressen.
>>
>> Hvilken?
>
> Er det ikke lige gyldigt?

Nej, der findes mange forskellige ADSL løsninger,
nogle virker ikke med alle VPN løsninger.

>> > Jeg har kigget på følgende 2 Firewalls:
>>
>> Hvorfor?
>
> Ja vel sagtens for at beskytte sit netværk... Det er der faktisk nogen der
> gør... I sær hvis de køre windows =)

Jeg spørger hvorfor han kikker på dem, hvad har gjort
at han kikker på disse og ikke andre...er det
prisen, eller den lækre farve, eller kender han
en onkel der en gang har hørt om en der læste at
den er sikker.

Måske er det noget der kan fortælle om hans krav.

>> > Sonicwall TZ170 samt Cisco Pix 506E
>> >
>> > Er der nogen af dem som kan anbefales ?
>
> Jeg kender ikke rigtig nogen af dem, men jeg har altid haft rigtig gode
> erfaringer med Cisco, der er ingen tvivl om at du der køber et rigtigt godt
> produkt, men der er vist heller ingen trivl om at du også betaler for det..

Det lyder som et dårligt argument, hvad har gjort at du har haft
"rigtig gode erfaringer"?

Nogle Cisco produkter er ikke cisco produkter, men blot en anden
producent med et Cisco klistermærke.

PIX'en er dog en "rigtig" cisco boks.

Dog er den i min verden en dyr Pentium maskine, med
licensbegrænsninger.

> Faktisk tror jeg ikke det betyder det helt store betydning om du vælger den
> ene eller anden, jeg ville (hvis pengene var ligegyldige) vælge en cisco..

Ville du således anbefalde PPTP? :)

> Ellers, hvis du ikke har noget imod det lidt alternative, så kik lidt på
> Linux, den har jo også det hele, men til 0 kr.

En udmærkede Linux hardware klient der ikke bruger for meget strøm
er SnapGear, konfigurationen kan hældes ned som en tekst fil, så
man kan automatisere installationen af mange bokse.

Dens begrænsninger ligger i hardwaren og ikke i softwaren/licenser.

Dens VPN er fortræffelig, specielt fordi mange usikre dele af IPSEC
protokollen ikke understøttes, endvidere bliver SA'er udvekslet på forhånd
så man ikke mister pakker når der bliver genudvækslet.

Desværrer kan nogle producenter ikke "tåle" man udveksler SA
på forhånd.

Jeg har set løsninger der har sendt ICMP net unreachable og sågar sendt
OSPF routes ud, blot fordi den ene ende ville genudveklse SA.

I tilfælde af man har brug for at fejlsøge kan tcpdump bruges, nogle
er det som en fordel, andre som en ulempe, personligt finder jeg det
naivt at tro en gateway ikke kan bruges som en sniffer, hvis der
ikke er en sniffer installeret.

> Jeg bruger selv en Debian Linux som firewall/vpn til mit Windows netværk,
> hvor jeg også har en Navision på. Det funker uden problemer, og så har jeg
> jo alle de VPN klienter jeg har lyst til.... Og en site2site vpn er det da
> også blevet til =)

Kan man angribe disse klienter direkte eller sørger VPN
klienten for netværksbeskyttelse og beskyttelse af
VPN konfigurationen.

>> Så længe der ikke er flere krav, vil alle
>> opfylde dine krav.
>
> Her er vi enige...

ok.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Esben Laursen (09-05-2004)
Kommentar
Fra : Esben Laursen


Dato : 09-05-04 22:31


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:slrnc9t261.8r3.chel@weebo.dmz.spindelnet.dk...
> In article <R9enc.2223$9R4.1998@news.get2net.dk>, Esben Laursen wrote:
> > Når han nu gerne ville køre Windows netværk, eller en anden ukrypteret
> > protokol..
> > Måske vil han ikke have at alle skal have adgang til hans
server/netværk.
> > måske vil han køre site2site vpn?
>
> Måske, måske, sådan kan gætte sig til en kundes behov, man
> kan også spørge hvad denne har brug for.
>
> >> Du skulle vel ikke have flere krav?
> >
> > Er det ikke nok??
>
> Nej, det er næsten svært at få øje på dem.
>

Hvordan kan:

<citat>
Vi vil gerne lave en VPN løsning, således at en 5-6 medarbejdere en gang
imellem kan koble op til firmaet via VPN og komme på vores Navision
økønomisystem. De skal ligeledes have adgang de de fælles drev/mapper som de
har i dag, når de sidder i firmaet.
</citat>

være svært at få øje på hva det er han vil.. Han har en 5-6 medarbejder der
gerne vil kunne arbejde hjemmefra.. Længere er den da ikke...

> >> Ellers kan du nøjes med at smide dine servere på Internet og lade
> >> brugerne gå direkte på. :)
> >
> > Godt, det blev her med lige et bestem at du _ikke_ skal rådgive mig på
mine
> > netværk/servere..
>
> ":)" betyder "smil"

Flot...

> > Det er da nok noget at det dummeste jeg har hørt...
>
> Rolig.

Jeg tager det helt roligt, jeg syntes bare det var et dårligt råd.... Meget
dårligt råd..

> >> > Alle medarbejder har ADSL på privatadressen.
> >>
> >> Hvilken?
> >
> > Er det ikke lige gyldigt?
>
> Nej, der findes mange forskellige ADSL løsninger,
> nogle virker ikke med alle VPN løsninger.

Jeg kunne godt tænke mig at du kunne give et eksempel på hvilken ADSL der
ikke kan køre med VPN, jeg har aldrig funden en der ikke som minimum har
kunne koble en VPN klient på. (Dog skal man jo huske på at vpn softwaren
skal have understøttelse for NAT, men det har jo ikke noget at gøre med
ADSL'en)

> >> > Jeg har kigget på følgende 2 Firewalls:
> >>
> >> Hvorfor?
> >
> > Ja vel sagtens for at beskytte sit netværk... Det er der faktisk nogen
der
> > gør... I sær hvis de køre windows =)
>
> Jeg spørger hvorfor han kikker på dem, hvad har gjort
> at han kikker på disse og ikke andre...er det
> prisen, eller den lækre farve, eller kender han
> en onkel der en gang har hørt om en der læste at
> den er sikker.

Sådan forstod jeg det ikke, jeg (og garanteret andre) forstod det som om at
hvorfor han skulle have en firewall.

> Måske er det noget der kan fortælle om hans krav.
>
> >> > Sonicwall TZ170 samt Cisco Pix 506E
> >> >
> >> > Er der nogen af dem som kan anbefales ?
> >
> > Jeg kender ikke rigtig nogen af dem, men jeg har altid haft rigtig gode
> > erfaringer med Cisco, der er ingen tvivl om at du der køber et rigtigt
godt
> > produkt, men der er vist heller ingen trivl om at du også betaler for
det..
>
> Det lyder som et dårligt argument, hvad har gjort at du har haft
> "rigtig gode erfaringer"?

Nu ville jeg ikke skrive en hel stil om mine erfaringer med Cisco, men da
jeg var ansat i Hærens Operative Kommando, og servicerede udsendte enheder i
Irak, Afgstand, Kosovo, Bosnien osv. brugte vi kun Cisco udstyr til alle
netværksforbindelser lige fra routere via sattellitforbindelserne til
fiber/rj45 forbindelserne i lejerne. Det har altid funket og hvis der var
noget der ikke virkede var levenrandørene altid venlige og flinke til at
hjælpe...... Man betaler for Cisco, men man får også servicen og et kvalitet
produkt....

> Nogle Cisco produkter er ikke cisco produkter, men blot en anden
> producent med et Cisco klistermærke.

Hvordan ved du det?

> PIX'en er dog en "rigtig" cisco boks.
>
> Dog er den i min verden en dyr Pentium maskine, med
> licensbegrænsninger.

Meget muligt, man hvis man ved hvad man køber og ikke skal bruge mere er det
vel ligegyldigt..

> > Faktisk tror jeg ikke det betyder det helt store betydning om du vælger
den
> > ene eller anden, jeg ville (hvis pengene var ligegyldige) vælge en
cisco..
>
> Ville du således anbefalde PPTP? :)

Hvordan kommer du frem til det? Så vidt jeg ved kører PIX'en IPSec...

> > Ellers, hvis du ikke har noget imod det lidt alternative, så kik lidt på
> > Linux, den har jo også det hele, men til 0 kr.
>
> En udmærkede Linux hardware klient der ikke bruger for meget strøm
> er SnapGear, konfigurationen kan hældes ned som en tekst fil, så
> man kan automatisere installationen af mange bokse.
>
> Dens begrænsninger ligger i hardwaren og ikke i softwaren/licenser.
>
> Dens VPN er fortræffelig, specielt fordi mange usikre dele af IPSEC
> protokollen ikke understøttes,

Hvordan er det lige en fordel? Det er vel kun et spørgsmål om
konfiguration...

> endvidere bliver SA'er udvekslet på forhånd
> så man ikke mister pakker når der bliver genudvækslet.
>
> Desværrer kan nogle producenter ikke "tåle" man udveksler SA
> på forhånd.
>
> Jeg har set løsninger der har sendt ICMP net unreachable og sågar sendt
> OSPF routes ud, blot fordi den ene ende ville genudveklse SA.

nå, det lyder da som en skidt boks..

> I tilfælde af man har brug for at fejlsøge kan tcpdump bruges, nogle
> er det som en fordel, andre som en ulempe, personligt finder jeg det
> naivt at tro en gateway ikke kan bruges som en sniffer, hvis der
> ikke er en sniffer installeret.

Hvorfor skriver du det? Det giver da ingen mening i denne sammenhæng...

> > Jeg bruger selv en Debian Linux som firewall/vpn til mit Windows
netværk,
> > hvor jeg også har en Navision på. Det funker uden problemer, og så har
jeg
> > jo alle de VPN klienter jeg har lyst til.... Og en site2site vpn er det
da
> > også blevet til =)
>
> Kan man angribe disse klienter direkte eller sørger VPN
> klienten for netværksbeskyttelse og beskyttelse af
> VPN konfigurationen.

Selvfølgelig skal man have en fornuftig firewall på klientsiden, men det er
jo ligegyldig hvilken firewall man vælger så skal man jo det... Hvis du
mener andet, så uddyb venligst..

Med venlig hilsen

Esben



Peder Vendelbo Mikke~ (10-05-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 10-05-04 20:39

Esben Laursen skrev:

> "Christian E. Lysel" skrev
>> Nogle Cisco produkter er ikke cisco produkter, men blot en anden
>> producent med et Cisco klistermærke.

> Hvordan ved du det?

Det er da ikke ualmindeligt at internationale virksomheder ikke produ-
cerer deres eget udstyr. IBM får vistnok lavet bærbare hos LG i Korea:

http://www.lgibm.co.kr/ (nej, jeg kan ikke koreansk, men kan dog kende
et logo og produktslægtskab når jeg ser det)

Den nemmeste måde at se det på, er at hive låget af 2 enheder der minder
svært meget om hinanden. Ok, en lidt dyr måde at gøre det på, men som
regel den eneste måde at opdage det på (med mindre man har adgang til
produkttests fra folk som hiver låget af når de tester et produkt og
ikke afholder sig fra at skrive om åbenlyse sammenfald).

Jeg burde vel egentlig lave opfølgning til en anden debatgruppe, jeg
kan dog hverken finde en passende debatgruppe eller se nogen grund til
at debatten skal fortsætte om det jeg skriver om.


Martin Schultz (10-05-2004)
Kommentar
Fra : Martin Schultz


Dato : 10-05-04 21:19

On Sun, 9 May 2004 23:31:03 +0200, Esben Laursen wrote:

> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
> news:slrnc9t261.8r3.chel@weebo.dmz.spindelnet.dk...
>> In article <R9enc.2223$9R4.1998@news.get2net.dk>, Esben Laursen wrote:

> Nu ville jeg ikke skrive en hel stil om mine erfaringer med Cisco, men da
> jeg var ansat i Hærens Operative Kommando, og servicerede udsendte enheder i
> Irak, Afgstand, Kosovo, Bosnien osv. brugte vi kun Cisco udstyr til alle
> netværksforbindelser lige fra routere via sattellitforbindelserne til
> fiber/rj45 forbindelserne i lejerne. Det har altid funket og hvis der var
> noget der ikke virkede var levenrandørene altid venlige og flinke til at
> hjælpe...... Man betaler for Cisco, men man får også servicen og et kvalitet
> produkt....
>
>> Nogle Cisco produkter er ikke cisco produkter, men blot en anden
>> producent med et Cisco klistermærke.
>
> Hvordan ved du det?

Hvis du fx. åbner en cisco 677 router så står der et helt andet firmanavn
inden i. (Efficient networks hvis jeg husker korrekt.)

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.

Asbjorn Hojmark (10-05-2004)
Kommentar
Fra : Asbjorn Hojmark


Dato : 10-05-04 23:25

On Mon, 10 May 2004 22:19:02 +0200, Martin Schultz
<news2004@adsltips.invalid> wrote:

> Hvis du fx. åbner en cisco 677 router så står der et helt andet firmanavn
> inden i. (Efficient networks hvis jeg husker korrekt.)

600-serien kom fra opkøbet af NetSpeed i 1998.

-A
--
http://www.hojmark.org/

Christian E. Lysel (15-05-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 15-05-04 22:34

In article <5oxnc.201$nC7.91@news.get2net.dk>, Esben Laursen wrote:
>> Nej, det er næsten svært at få øje på dem.
>>
>
> Hvordan kan:
>
><citat>
> Vi vil gerne lave en VPN løsning, således at en 5-6 medarbejdere en gang
> imellem kan koble op til firmaet via VPN og komme på vores Navision
> økønomisystem. De skal ligeledes have adgang de de fælles drev/mapper som de
> har i dag, når de sidder i firmaet.
></citat>

VPN i dag dækker over op til 7-8 forskellige protokoller, alt
efter hvem du snakker med.

Opkoblingen til Navision er ikke forklaret, er dette via et netværksdrev
eller klient/server applikationer, web applikationer eller via en Citrix server.

Hvordan skal brugernes valideres?

Krav til klienter?

Find selv på flere spørgsmål.

> være svært at få øje på hva det er han vil.. Han har en 5-6 medarbejder der
> gerne vil kunne arbejde hjemmefra.. Længere er den da ikke...

Selvfølgelig er den længere, eller ville der ikke eksistere flere måder
at implementere det på.

> Jeg tager det helt roligt, jeg syntes bare det var et dårligt råd.... Meget
> dårligt råd..

Det opfylder de krav der er stilles, hvis du synes rådet er dårligt ligger
problemet nok i de stillet krav!

>> Nej, der findes mange forskellige ADSL løsninger,
>> nogle virker ikke med alle VPN løsninger.
>
> Jeg kunne godt tænke mig at du kunne give et eksempel på hvilken ADSL der
> ikke kan køre med VPN, jeg har aldrig funden en der ikke som minimum har
> kunne koble en VPN klient på. (Dog skal man jo huske på at vpn softwaren
> skal have understøttelse for NAT, men det har jo ikke noget at gøre med
> ADSL'en)

Det er for det meste omvendt nemlig at NAT routeren skal understøtte
IPSec, dvs. 50/ip og 500/udp.

Mange NAT routere understøtter kun én IPSec session, hvis den ansatte således
deler ADSL med sin ægtefælle som også skal kører VPN, vil det hos
nogle ISP'er kun virker for den første. En af mine gamle kunder. en
kommune, havde således dette problem med en ISP.

Derefter skal internet forbindelsen ikke filtere VPN trafik, fx IPSec,
dette problem har jeg ikke set.

Nogle IPsec implementationer håntere ikke fragmentering ordenligt, dette kan
give problemmer med fx PPPoE forbindelser.

PPPoE forbindelser har jeg set kører meget ustabilt, da ISP'en
taget linket ned, når det ikke er ibrug. Hvis det er rigtigt slemt
kan de også finde på at tildele IP adressre dynamisk.

Andre ISP'er nedpriotere IPSec så meget i deres netværk at forbindelsen
bliver ubruglig, et eksemple jeg selv har mødt flere gange er Arrownet.

Nogle helt tredje ISP har jeg set duplikere kundens trafik, hvilket
også kan have kedelige konsekvenser for en IPsec forbindelse.


I øjeblikket giver mine forbindelser til Norge problemmer.

>> Jeg spørger hvorfor han kikker på dem, hvad har gjort
>> at han kikker på disse og ikke andre...er det
>> prisen, eller den lækre farve, eller kender han
>> en onkel der en gang har hørt om en der læste at
>> den er sikker.
>
> Sådan forstod jeg det ikke, jeg (og garanteret andre) forstod det som om at
> hvorfor han skulle have en firewall.

Du mener vel to firewalls? :)

>> Det lyder som et dårligt argument, hvad har gjort at du har haft
>> "rigtig gode erfaringer"?
>
> Nu ville jeg ikke skrive en hel stil om mine erfaringer med Cisco, men da
> jeg var ansat i Hærens Operative Kommando, og servicerede udsendte enheder i
> Irak, Afgstand, Kosovo, Bosnien osv. brugte vi kun Cisco udstyr til alle
> netværksforbindelser lige fra routere via sattellitforbindelserne til
> fiber/rj45 forbindelserne i lejerne. Det har altid funket og hvis der var
> noget der ikke virkede var levenrandørene altid venlige og flinke til at
> hjælpe...... Man betaler for Cisco, men man får også servicen og et kvalitet
> produkt....

Læs evt. sidste afsnit.

>> Nogle Cisco produkter er ikke cisco produkter, men blot en anden
>> producent med et Cisco klistermærke.
>
> Hvordan ved du det?

Brug en skruetrækker, læs evt. også deres pressemeddelser.

De opkøber andre virksomheder, fx små ISDN bokse, VPN concentratoren,
SMB routeri/firewall markedet.

>> Dog er den i min verden en dyr Pentium maskine, med
>> licensbegrænsninger.
>
> Meget muligt, man hvis man ved hvad man køber og ikke skal bruge mere er det
> vel ligegyldigt..

Blot kedeligt hvis ens afdeling vokser.

>> Ville du således anbefalde PPTP? :)
>
> Hvordan kommer du frem til det? Så vidt jeg ved kører PIX'en IPSec...

Og PPTP (http://www.cisco.com/warp/public/110/pptppix.html)

>> Dens VPN er fortræffelig, specielt fordi mange usikre dele af IPSEC
>> protokollen ikke understøttes,
>
> Hvordan er det lige en fordel? Det er vel kun et spørgsmål om
> konfiguration...

Hvis en konfiguration tillader man kan sætte det usikkert op,
er der nok nogle brugere der sætter det usikkert op.

Hvis konfigurationen ikke tillader man sætter det usikkert op,
er der ikke nogen der sætter det usikkert op.

Jeg tænker dog specifikt på de anbefalder der er i
RFC 2409.

>> endvidere bliver SA'er udvekslet på forhånd
>> så man ikke mister pakker når der bliver genudvækslet.
>>
>> Desværrer kan nogle producenter ikke "tåle" man udveksler SA
>> på forhånd.
>>
>> Jeg har set løsninger der har sendt ICMP net unreachable og sågar sendt
>> OSPF routes ud, blot fordi den ene ende ville genudveklse SA.
>
> nå, det lyder da som en skidt boks..

Det var en dyr og anerkendt boks!

>> I tilfælde af man har brug for at fejlsøge kan tcpdump bruges, nogle
>> er det som en fordel, andre som en ulempe, personligt finder jeg det
>> naivt at tro en gateway ikke kan bruges som en sniffer, hvis der
>> ikke er en sniffer installeret.
>
> Hvorfor skriver du det? Det giver da ingen mening i denne sammenhæng...

Jeg giver mine argumenter for hvorfor jeg synes om produktet.

>> Kan man angribe disse klienter direkte eller sørger VPN
>> klienten for netværksbeskyttelse og beskyttelse af
>> VPN konfigurationen.
>
> Selvfølgelig skal man have en fornuftig firewall på klientsiden, men det er

Definere fornuftig?

> jo ligegyldig hvilken firewall man vælger så skal man jo det... Hvis du
> mener andet, så uddyb venligst..

Cisco's VPN klient gemmer sin konfiguration i klartekst.

FW-1 VPN klient har også konfigurationen i klartekst.

Andre problemmer er også fundet under en kunde audit af en af mine
gamle kollega,
http://www.cisco.com/warp/public/707/vpn5k-client-multiple-vuln-pub.shtml

Af andre Cisco VPN problemmer kan nævnes,

2004-04-15: Cisco IPsec VPN Client Group Password Disclosure Vulnerability
2004-04-15: Multiple Vendor IKE Implementation Certificate Authenticity Verification Vulnerability
2004-04-15: Multiple Vendor IKE Insecure XAUTH Implementation Vulnerabilities
2003-05-23: Cisco VPN Client Privilege Escalation Variant Vulnerability
2003-05-22: Cisco VPN Client Privilege Escalation Vulnerability
2002-09-05: Cisco VPN Client Distinguished Name Validation Vulnerability
2002-09-05: Cisco VPN Client Predictable Sequence Number Vulnerability
2002-09-05: Cisco VPN Client TCP Filter Information Leakage Vulnerability
2002-09-05: Cisco VPN Client NETBIOS TCP Packet Denial Of Service Vulnerability
2002-09-05: Cisco VPN Client Password Disclosure Vulnerability
2002-08-12: Cisco VPN Client IKE Packet Excessive Payloads Vulnerability
2002-08-12: Cisco VPN Client IKE Security Parameter Index Payload Buffer Overflow Vulnerability
2002-08-12: Cisco VPN Client Zero Length IKE Packet Denial Of Service Vulnerability
2002-04-26: Cisco Systems VPN Client for Windows Dangerous Dialog Instructions Weakness


Ud over ovenstående har deres indbygget "firewall" været ynkelig i lang tid, indtil
de lavede et sammenarbejde med ZoneLabs, efter dette har jeg ikke haft mulighed for
at teste den.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste