Toon posts:

Network design

Pagina: 1
Acties:
  • 69 views sinds 30-01-2008

vrijdag 8 november 2002 12:21

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Topicstarter
Ik zou graag willen lezen hoe jullie denken over dit netwerkdesign, een netwerk met VPN (L2TP/IPSEC en PPTP) en async inbelclients. Verder komt in het netwerk ook een webserver te hangen.
Beveiliging is erg belangrijk dus daar moet bij het design als eerste vanuit worden gegaan. Ik had dus hetvolgende in gedachte.

Afbeeldingslocatie: http://www.miezenbeek.nl/network.gif

Router op huurlijn, daarachter een public range binnen een DMZ met daarop de Web/FTP server, firewall en VPN access.
Firewall is een cisco pix 501, vpn server een win2000 machine (tevens RAS voor modemers) en accepteert pptp en l2tp. (gebruikt ook filters zodat alleen de benodigde poorten open staan)

Is dit design veilig genoeg of zou ik beter een grotere pix kunnen neerzetten, en die als vpn access server inzetten? Dan zou er voor authenticatie denk ik een RADIUS server nodig zijn (IAS, win2000, staat ook in design). Of zou ik beter de vpn server achter de pix kunnnen plaatsen en de benodigde poorten/protocollen doorlussen.

Of is er sowieso wel een DMZ nodig als ik de webserver achter de pix zou hangen en de FTP en WWW poort zou doorlussen :?

Wat voor design gebruiken jullie meestal..

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

vrijdag 8 november 2002 12:26

Acties:
  • RMYuma
  • Registratie: Maart 2001
  • Laatst online: 19-03 05:28

RMYuma

The disguise is complete!

Een DMZ is wel een veilige manier om intranet en internet uit elkaar te houden. Mensen van buitenaf hoeven alleen maar op de Public zijde.
Medewerkers die via VPN connectie leggen kunnen middels authenticering toegang tot het netwerk krijgen.
RADIUS is alleen interessant als er meerdere RASS-servers zijn en je gecentraliseerd de policies wilt uitdelen.

| Specs Aurora24 | My music |

vrijdag 8 november 2002 12:33

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Topicstarter
The_Prince_of_Mu schreef op 08 november 2002 @ 12:26:

RADIUS is alleen interessant als er meerdere RASS-servers zijn en je gecentraliseerd de policies wilt uitdelen.
Ok maar stel dat ik de pix zou inzetten voor VPN access, dan wil ik niet gaan werken met een lokale user database, dus dan zou de pix gebruik moeten maken van een interne RADIUS server zodat gebruikers gewoon met hun netwerk login kunnen verbinden.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

vrijdag 8 november 2002 13:31

Acties:
  • RMYuma
  • Registratie: Maart 2001
  • Laatst online: 19-03 05:28

RMYuma

The disguise is complete!

Dat is idd een mogelijkheid. In dat geval zou een Radiusserver een optie zijn. Weet echter niet of dat dan ook noodzakelijk is, of dat het via een andere weg ook zal werken.

| Specs Aurora24 | My music |

vrijdag 8 november 2002 13:47

Acties:
  • Stampertje
  • Registratie: November 2002
  • Laatst online: 15-01-2024

Stampertje

Gaat je nix aan

Wil je een pix 501 wel inzetten voor VPN access. De 501 is een thuiswerk firewalletje. Om vpn access te kunnen bieden zou ik toch voor minimaal een 515E gaan.

Living the American Dream

vrijdag 8 november 2002 13:55

Acties:
  • teigetjuh
  • Registratie: September 2000
  • Niet online

teigetjuh

Erik_van_H schreef op 08 november 2002 @ 13:47:
Wil je een pix 501 wel inzetten voor VPN access. De 501 is een thuiswerk firewalletje. Om vpn access te kunnen bieden zou ik toch voor minimaal een 515E gaan.
Het hier gebruikte plaatje komt uit de handleiding van een Cisco VPN 3000 Series Concentrator handleiding. en als je alleen de poortjes/protocollen doorlaat kan een 501 dat best.

vrijdag 8 november 2002 14:03

Acties:
  • egeltje
  • Registratie: December 2000
  • Laatst online: 10-04-2019

egeltje

BOfH: BSD Operator from Hell

Ik snap alleen niet zo goed wat ze met die aparte authentication server willen. Die staat wat raar in het plaatje.

Ik zou de web, ftp en access server in de DMZ zetten. Vanuit die access server mogen ze dan weer verder het interne netwerk op (terug door de firewall dus).

Iedereen wil terug naar de natuur, maar niemand wil lopen...

zaterdag 9 november 2002 23:44

Acties:
  • reddog33hummer
  • Registratie: Oktober 2001
  • Laatst online: 25-04 19:21

reddog33hummer

Dat schept mogelijkheden

ik zou de vpn server in de DMZ zetten. Op die manier heb je namelijk maar 1 aanspreekpunt, de firewall. Om dan bij de vpn te komen moet je dan al door een firewall.
Dit maakt voor de vpn server zelf niet zoveel uit maar het kan zijn dat bij jouw firewall dat niet ingesteld kan worden.

De DMZ is bedoelt dat er geen communicaties die van buiten loopen het interne netwerk op komen. Een mail server (tenzij je alleen via dat ding intern, of alleen naar buiten stuurt) zou ook mooi in de dmz te plaatsen zijn.

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

maandag 11 november 2002 17:22

Acties:

Verwijderd

niet echt veilig :)
Ik zou graag willen lezen hoe jullie denken over dit netwerkdesign, een netwerk met VPN (L2TP/IPSEC en PPTP) en async inbelclients. Verder komt in het netwerk ook een webserver te hangen.
Beveiliging is erg belangrijk dus daar moet bij het design als eerste vanuit worden gegaan. Ik had dus hetvolgende in gedachte.
zoals jou design is kan naar mijn idee alles direct naar buiten toe... (of naar binnen toe) dit is per definitie slecht qua security (ik neem ook aan dat je nog clients hebt die internetten... waar is je proxy??)

probeer zoiets...

www
|
router
|
fw--- dmz (externe mail, webservers, upstream proxy, rras... liever meerdere dmz's)
|
intern (proxy (evt isa als 2 fw), interne mail, intranetservers)

overigens werkt ipsec niet over nat... dus zal je die moet laten stoppen op je firewall (tenminste als daar pas genat wordt)

maandag 11 november 2002 19:15

Acties:
  • Whizzer
  • Registratie: November 2000
  • Laatst online: 26-04 18:04

Whizzer

Flappie!

iis5_rulez heeft gelijkt (maar iis ruled niet ;) )
Mail, proxy, www en dns in de dmz knallen.. Indien je zaken buiten de firewall laat authenticeren (dus je www met https uitrusten en laten authenticeren tegen je radius-doos), dan ook de radius in het dmz proppen... Gebruikers die een VPN verbinding opbouwen en tegen de firewall de authenticatie doen die het vervolgens aan de radius vraagt, valt bij mij onder authenticatie gedaan door de FW...

Wees jezelf er wel van bewust dat er (zolang je geen private vlan's hebt) rustig gehopped kan worden van machine naar machine in hetzelfde segment... Als je doel de mailserver is, dan hack je bijv. eerst de proxy, van daaruit hop je door naar de mailserver en je hebt je doel bereikt... Daar ook al aan gedacht als je vindt dat beveiliging erg belangrijk is??? Voor dit soort oplossing red je het niet met 'goedkoop' apparatuur als een pix 501 of 515...

Ik ben geweldig.. en bescheiden! En dat siert me...

dinsdag 12 november 2002 10:26

Acties:

Verwijderd

offtopic:
iis5_rulez heeft gelijkt (maar iis ruled niet )
ik wil me naam ook veranderen naar iis6_rulez :)

vrijdag 6 december 2002 08:18

Acties:

Verwijderd

apache rulez iis zuigt

vrijdag 6 december 2002 08:28

Acties:

Verwijderd

Met CSNT kan je tussen de pix en de windows 2k domain een link leggen.
Aan de ene kant met de pix zal de CSNT radius of tacacs+ praten en aan de andere kant met de win2k domain ntlm

vrijdag 6 december 2002 08:32

Acties:

Verwijderd

Verwijderd schreef op 06 December 2002 @ 08:18:
apache rulez iis zuigt
Toevallig naar de datum gekeken ? :O

vrijdag 6 december 2002 09:12

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 17:48

Koffie

Koffiebierbrouwer

Braaimeneer

dicht

Tijd voor een nieuwe sig..

Pagina: 1

Dit topic is gesloten.