[sage] Erfahrungen mit Sun-Management-Center im Netzwerk?

[A. Dreyer (SAGE-DE)]

Bernhard Schneck wrote:
> Hallo Achim,
> 
>> Kannst Du mir das etwas genauer erläutern?
> 
> Mit einem VPN erweitere ich meine Sicherheitszone um die
> Gegenstelle(n).

s.u.

> Wenn ich ``innen'' ein realtiv hohes Sicherheitsniveau
> brauche und die VPN-Gegenstelle ``aussen'' relativ unsicher
> ist, hab ich ein Problem.  Ein Cracker, der die Kiste
> draussen unter seine Kontrolle bringt, kann evtl. durch
> das VPN nach drinnnen durchtunneln.

Genau da sehe ich das Problem - warum verbindest Du dein "Innen" mit
einem remote "Aussen"?  Das VPN sollte an deinem "Aussen" beginnen.

Ich würde den lokalen VPN-Endpunkt an ein Extra-Interface der Firewall
anschliessen, dadurch ist der VPN-Traffic von anderem Internet-Traffic
abgeschottet und trotzdem ist das "interne" Netzwerk durch spezielle
Filterregeln geschützt. Nicht zu vergessen ist schliesslich auch das
Problem das manchmal die VPN-Gegenseite die gleichen IP-Ranges verwendet
und hier evtl. ein NAT vorgenommen werden kann/muss.


> Um das Problem in den Griff zu bekommen, muss ich die
> Kommuniation filtern ... und damit sind wir wieder beim
> Ausgangspunkt der Frage (mit dem kleinen Unterschied, dass
> die Daten jetzt verschluesselt sind, wie du ja geschrieben
> hattest ... ob das in diesem Fall notwendig ist oder nicht
> ist ein anderes Thema).

Ich sehe immer noch nicht warum die Lösung über ein VPN (+ Firewall)
eine schlechtere Lösung als eine Firewall alleine ist..
(Ich würde nie ein VPN ohne Filter/Firewall nutzen..)

Achim

--
Achim Dreyer                 || http://www.adreyer.com/
Senior Unix & Network Admin  || RHCE, RHCA, CCNA, CCSA, CCSE, JNCIS-FW
Internet Security Consultant || Phone: +44 7756948229