OT: Cisco 805 a firewall

Petr Kadlec kraken na krakenuv.net
Pátek Červenec 12 09:17:47 CEST 2002 

On Fri, 12 Jul 2002, AB wrote:

> > predpokladam ze nastavene NAT prakticky znemoznuje dostat se na interni
> > pocitac zvenci. a pokud mate heslo pro pristup na c805, tak se vam ani na
> > c805 nikdo nedostane (na rozdil od linuxoveho stroje). cili me ten dotaz
> > neprijde relevantni - NAT mi pripada uz samo o sobe pomerne slusny
> firewall
> > vnitrnich pocitacu.
> >
> Dostat se primo na vnitrni pocitac pres NAT asi primo nelze, ale presto si
> myslim, ze NAT neni plna ochrana - za urcitych podminek by se nejaky paket
> zvenci mohl dostat do vnitrni site.\

Nejlepsi je vybavit to cisco firmwarem IP/FW (nejsem si jist zda je i pro 
805, viz vyrobce/dodavatel). Rozdil oproti standartnimu NAT je ten, ze na 
intetnetovem rozhrani je access list, ktery se dynamicky meni dle 
fungovani NAT. Takze kdyz napriklad vyvolate spojeni pres nat na vzdalene 
ip X.X.X.X a odpoved se vrati z Y.Y.Y.Y, tak to vypadne uz na tom access 
listu a (pri spravne konfiguraci) se to jeste zaloguje na syslog, a vite 
ze s vama nekdo svindluje. 

Osobne nedam na linux dopustit, ale bezpecneji se citim za firewallem na 
ciscu (IOS IP/FW, PIX), a to z toho duvodu, ze se o to clovek nemusi tak 
starat a hlidat bezpecnostni diry jako v pri pouziti linuxu. A pokud 
budeme hodne paranoidni a dejte tomu ze se tam nekdo dostane, tak tech 
moznosti jak skodit/smirovat dal, uz moc nema, na linuxu si muze delat co 
se mu zlibi.

Co se tyka toho vzdaleneho pripojeni na telnet kvuli sprave, tak s tim ze 
je to nebezpecne plne souhlasim. Pokud potrebujete spravcovat vzdalene z 
internetu a pouzity firmware nema implementovano ssh, tak si muzete udelat 
staticy NAT na nejakej stroj ve vnitrni siti pro port 22 (a na ciscu mu 
dat nejeke divoke cislo portu) a omezit to na nejake konkretni IP. A 
telnet po vnitrni siti uz tak nebezpecny neni, protoze tam mate uzivatele 
na ktere si muzete posvitit administrativne, krom toho kdo dnes jeste 
pouziva na vnitrni LAN hub a ne switch?

	k. 

-- 

	

      /   / ////   ///  /   / ///// /   ////////////////////////////////////
     /  /  /   / /   / /  /  /     //  /  e-mail: kraken na krakenuv.net     /
    ///   ////  ///// ///   ///   / / /    jabber: kraken na jabber.cz      /
   /  /  /   / /   / /  /  /     /  //        http://krakenuv.net       /
  /   / /   / /   / /   / ///// /   /            icq: 82214600         /
                                                                      /
//////////////////////////////////////////////////////////////////////

Další informace o konferenci Linux