Toon posts:

Firewall: Speedtouch 510 of Cisco PIX 501

Pagina: 1
Acties:

maandag 2 mei 2005 19:21

Acties:
  • Kets_One
  • Registratie: November 2001
  • Niet online

Kets_One

Topicstarter
Ik heb jullie advies nodig:

Ik heb de volgende opstelling draaien met DHCP-Spoof (extern ip-adres op PIX):

Internet <==> Speedtouch 510 <==> Cisco PIX 501==> netwerk

Graag zou ik de firewall op de Speedtouch uitschakelen (ja, ik weet hoe...). Reden hiervoor is dat de PIX veeeel uitgebreidere logging capaciteiten heeft, waarmee ik de 'aanvallen' op mijn netwerk kan monitoren.

Is het uitschakelen van de firewall op de Speedtoch verstandig? Zo nee, waarom niet?
Wat zijn de risico's'?

3.18 kWp ZW, 2.76 kWp NO

dinsdag 3 mei 2005 08:48

Acties:

Verwijderd

De "Firewall" op de 510 is gewoon je NAT-traversal toch? Als je PIX je externe IP heeft is de ST510 gewoon een "dom" modem dat je PPPoA regelt.

dinsdag 3 mei 2005 09:23

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

met deze analogie kun je zelf bepalen of het wel of niet verstandig is om je speedtouch te laten bridgen ipv. address translation. ;)

"Stel je voor dat de Pix501 Fort Knox is. De speedtouch is vervolgens een prikkeldraad om de buitenste hekken heen."

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 3 mei 2005 10:06

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 23:54

leuk_he

1. Controleer de kabel!

Ik ben van mening (let op : mening 8) ) dat je beter 1 goede frewall kunt gebruiken dan een heleboel. Met meerdere firewall heb je volgens mij kans op fouten in de configuratie met als gevolg dat je uiteindelijk toch niet veilig bent. Complex is niet per definitie veiliger.

Dus ik ben het met je eens : de speedtouch bridgen en de PIX (aangenomen dat je daarmee overweg kunt) al het firewall/NAT werk laten doen.

/offtopic: uiteraard is beveiliging meer dan alleen een firewall

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 3 mei 2005 13:45

Acties:
  • proza
  • Registratie: September 2001
  • Laatst online: 04-05 19:06

proza

Speedtouch als bridged en PIX als firewall draait perfect. Zelf al een paar weggezet zie ook mijn sample.
_/-\o_

If you see me collapse, pause my Garmin!πŸšΆπŸƒ

dinsdag 3 mei 2005 18:39

Acties:
  • Kets_One
  • Registratie: November 2001
  • Niet online

Kets_One

Topicstarter
Mijn vraag is nog niet beantwoord; mss moet ik hem wat verduidelijken.

Als ik de vuurmuur op de ST510 uitschakel, hoe kwetsbaar is deze dan? Is een goed wachtwoord voldoende om hackers buiten de deur te houden?

3.18 kWp ZW, 2.76 kWp NO

dinsdag 3 mei 2005 19:38

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Kets_One schreef op dinsdag 03 mei 2005 @ 18:39:
Mijn vraag is nog niet beantwoord; mss moet ik hem wat verduidelijken.

Als ik de vuurmuur op de ST510 uitschakel, hoe kwetsbaar is deze dan? Is een goed wachtwoord voldoende om hackers buiten de deur te houden?
niet, de st510 zat niet kwetbaar worden

dinsdag 3 mei 2005 19:59

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Kets_One schreef op dinsdag 03 mei 2005 @ 18:39:
Mijn vraag is nog niet beantwoord; mss moet ik hem wat verduidelijken.

Als ik de vuurmuur op de ST510 uitschakel, hoe kwetsbaar is deze dan? Is een goed wachtwoord voldoende om hackers buiten de deur te houden?
voor de buitenwereld is jou speedtouch niet kwetsbaarder dan een UTP kabel...

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 3 mei 2005 20:07

Acties:
  • Robthebest
  • Registratie: Januari 2002
  • Laatst online: 30-04 06:18

Robthebest

Omdat je speedtouch een modem is en je die dus nodig hebt om verbinding te kunnen maken met je internet kun je de volgende situatie creeeren.

Internet---> Speedtouch--->Cisco

Bij de speedtouch zul je bij NAPT setting de Default Server op het ip van de cisco kunnen zetten( ook wel DMZ genoemd. Je geeft daarbij in de cisco router dat het 10.0.0.120 is met als gateway en DNS 10.0.0.138.

Bij de speedtouch geef je dan aan als default server 10.0.0.120. Al het verkeer wordt dan meteen doorgestuurd naar je cisco router zonder te kijken waar het voor bestemd is en wat het pakketje inhoudt.

dinsdag 3 mei 2005 20:09

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Robthebest schreef op dinsdag 03 mei 2005 @ 20:07:
Omdat je speedtouch een modem is en je die dus nodig hebt om verbinding te kunnen maken met je internet kun je de volgende situatie creeeren.

Internet---> Speedtouch--->Cisco

Bij de speedtouch zul je bij NAPT setting de Default Server op het ip van de cisco kunnen zetten( ook wel DMZ genoemd. Je geeft daarbij in de cisco router dat het 10.0.0.120 is met als gateway en DNS 10.0.0.138.

Bij de speedtouch geef je dan aan als default server 10.0.0.120. Al het verkeer wordt dan meteen doorgestuurd naar je cisco router zonder te kijken waar het voor bestemd is en wat het pakketje inhoudt.
Of je laat de speedtouch bridgen, en niemand weet meer dat dat ding bestaat. Scheelt ook weer een hop (=delay)

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 3 mei 2005 20:09

Acties:

Verwijderd

Robthebest schreef op dinsdag 03 mei 2005 @ 20:07:
Omdat je speedtouch een modem is en je die dus nodig hebt om verbinding te kunnen maken met je internet kun je de volgende situatie creeeren.

Internet---> Speedtouch--->Cisco

Bij de speedtouch zul je bij NAPT setting de Default Server op het ip van de cisco kunnen zetten( ook wel DMZ genoemd. Je geeft daarbij in de cisco router dat het 10.0.0.120 is met als gateway en DNS 10.0.0.138.

Bij de speedtouch geef je dan aan als default server 10.0.0.120. Al het verkeer wordt dan meteen doorgestuurd naar je cisco router zonder te kijken waar het voor bestemd is en wat het pakketje inhoudt.
Kan, alhoewel ik de optie van het in de bridgestand zetten van het modem zou prefereren. Deze is dan volledig transparant en heeft voor de rest eigenlijk niks meer met het verkeer van doen. En dat is uiteindelijk de bedoeling natuurlijk, dus waarom dan nog een DMZ gebruiken? :)
Dirk-Jan schreef op dinsdag 03 mei 2005 @ 20:09:
[...]


Of je laat de speedtouch bridgen, en niemand weet meer dat dat ding bestaat. Scheelt ook weer een hop (=delay)
Tik eens niet snel jij :P Maar die 0.2ms extra zal het hem niet doen met die extra hop :) Maar wat niet nodig is, ook niet gebruiken. Scheelt weer problemen enzo :)

[ Voor 18% gewijzigd door Verwijderd op 03-05-2005 20:10 ]

Pagina: 1
Reageer