форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"VPN+ACL+безопастность"
Сообщение от kirill_i (ok) on 09-Июн-05, 14:25  (MSK)
Привет всем! Возник интересный вопрос: Две компании,между ними интернет.На одном конце Checkpoint (внутреняя сеть 192.168.0.0/24, внешний адрес скажем а.а.а.а) на другом cisco (внутреняя сеть 172.20.20.0/24, внешний адрес в.в.в.в). Между ними настроен VPN (взято с сайта www.cisco.com), задача видимость внутренних сетей Рассматриваем только Cisco. На входном интерфейсе повешен ACL на вход, который прикрывает внутренюю сеть. В который для правильной работы VPN были добавлени след строки: ip access-list ex 120 ... 110 permit ip host а.а.а.а host в.в.в.в 120 permit ip 192.168.0.0 0.0.0.255 172.20.20.0 0.0.0.255 ... Без строки 120 VPN не заводится. Вопрос: А не опастно ли держать такую строку на входном интерфейсе? (наверняка можно организовать атаку с подменой исходящего адреса и пройти из интренета через интерфейс), а не только из локалки что за Chekpoint? Спасибо.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "VPN+ACL+безопастность"
Сообщение от Dim (??) on 09-Июн-05, 15:50  (MSK)
>Привет всем! Возник интересный вопрос: >Две компании,между ними интернет.На одном конце Checkpoint (внутреняя сеть 192.168.0.0/24, внешний адрес >скажем а.а.а.а) на другом cisco (внутреняя сеть 172.20.20.0/24, внешний адрес в.в.в.в). >Между ними настроен VPN (взято с сайта www.cisco.com), задача видимость внутренних >сетей >Рассматриваем только Cisco. >На входном интерфейсе повешен ACL на вход, который прикрывает внутренюю сеть. >В который для правильной работы VPN были добавлени след строки: >ip access-list ex 120 >... > 110 permit ip host а.а.а.а host в.в.в.в > 120 permit ip 192.168.0.0 0.0.0.255 172.20.20.0 0.0.0.255 >... > Без строки 120 VPN не заводится. >Вопрос: А не опастно ли держать такую строку на входном интерфейсе? (наверняка >можно организовать атаку с подменой исходящего адреса и пройти из интренета >через интерфейс), а не только из локалки что за Chekpoint? >Спасибо. Не опасно. На самом деле все работает не совсем так, как написано в листе. В свежих вариантах иоса, насколько я помню, лист даже выглядит по-другому.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "VPN+ACL+безопастность"
	Сообщение от kirill_i (ok) on 09-Июн-05, 17:23  (MSK)
	Т.е. впрямую пакеты из интернета не будут попадать под это правило, а только те пакеты что указаны в настройках VPN? Cgfcb,j
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "VPN+ACL+безопастность"
	Сообщение от Dim (??) on 10-Июн-05, 16:22  (MSK)
	>Т.е. впрямую пакеты из интернета не будут попадать под это правило, а >только те пакеты что указаны в настройках VPN? >Cgfcb,j Да Это, грубо говоря, для другого интерфейса, для туннеля.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.