OT: Cisco 805 a firewall
Petr Kadlec
kraken na krakenuv.net
Pátek Červenec 12 09:17:47 CEST 2002
On Fri, 12 Jul 2002, AB wrote:
> > predpokladam ze nastavene NAT prakticky znemoznuje dostat se na interni
> > pocitac zvenci. a pokud mate heslo pro pristup na c805, tak se vam ani na
> > c805 nikdo nedostane (na rozdil od linuxoveho stroje). cili me ten dotaz
> > neprijde relevantni - NAT mi pripada uz samo o sobe pomerne slusny
> firewall
> > vnitrnich pocitacu.
> >
> Dostat se primo na vnitrni pocitac pres NAT asi primo nelze, ale presto si
> myslim, ze NAT neni plna ochrana - za urcitych podminek by se nejaky paket
> zvenci mohl dostat do vnitrni site.\
Nejlepsi je vybavit to cisco firmwarem IP/FW (nejsem si jist zda je i pro
805, viz vyrobce/dodavatel). Rozdil oproti standartnimu NAT je ten, ze na
intetnetovem rozhrani je access list, ktery se dynamicky meni dle
fungovani NAT. Takze kdyz napriklad vyvolate spojeni pres nat na vzdalene
ip X.X.X.X a odpoved se vrati z Y.Y.Y.Y, tak to vypadne uz na tom access
listu a (pri spravne konfiguraci) se to jeste zaloguje na syslog, a vite
ze s vama nekdo svindluje.
Osobne nedam na linux dopustit, ale bezpecneji se citim za firewallem na
ciscu (IOS IP/FW, PIX), a to z toho duvodu, ze se o to clovek nemusi tak
starat a hlidat bezpecnostni diry jako v pri pouziti linuxu. A pokud
budeme hodne paranoidni a dejte tomu ze se tam nekdo dostane, tak tech
moznosti jak skodit/smirovat dal, uz moc nema, na linuxu si muze delat co
se mu zlibi.
Co se tyka toho vzdaleneho pripojeni na telnet kvuli sprave, tak s tim ze
je to nebezpecne plne souhlasim. Pokud potrebujete spravcovat vzdalene z
internetu a pouzity firmware nema implementovano ssh, tak si muzete udelat
staticy NAT na nejakej stroj ve vnitrni siti pro port 22 (a na ciscu mu
dat nejeke divoke cislo portu) a omezit to na nejake konkretni IP. A
telnet po vnitrni siti uz tak nebezpecny neni, protoze tam mate uzivatele
na ktere si muzete posvitit administrativne, krom toho kdo dnes jeste
pouziva na vnitrni LAN hub a ne switch?
k.
--
/ / //// /// / / ///// / ////////////////////////////////////
/ / / / / / / / / // / e-mail: kraken na krakenuv.net /
/// //// ///// /// /// / / / jabber: kraken na jabber.cz /
/ / / / / / / / / / // http://krakenuv.net /
/ / / / / / / / ///// / / icq: 82214600 /
/
//////////////////////////////////////////////////////////////////////
Další informace o konferenci Linux