Konzept Aussenstellenanbindung an Firma
Frank Matthieß
frankm at lug-owl.de
Thu Nov 6 09:06:37 CET 2003
Florian Lohoff [2003-11-05 20:00 CET]:
> On Wed, Nov 05, 2003 at 07:44:51PM +0100, Frank Matthieß wrote:
> > Ich würde Dir für die Aussenstellen eine Firewall mit VPN Tunnel in die
> > Zentrale vorschlagen. Dann ist das für die Maschinen im
> > LAN(Filiale(Zentrale) transparent.
> >
> >
> > In der Zentrale auch eine Firewall mit _drei_ Netzwerkanschlüssen:
> >
> > 1. Internet
> > 2. DMZ
> > 3. LAN
> >
> > Oder zwei Firewalls:
> >
> > 1. Internet <-> DMZ
> > 2. DMZ <-> LAN
> >
> > Das kommt beides auf's gleiche raus. Einfacher zu pflegen ist die erste
> > Alternative.
>
> Sicherer die 2te - Wenn schon jemand die Firewall mal einnimmt dann
> hoffentlich nicht gleich die Komplette - An der Hardware sollte es
> ja bei den heutigen Preisen nicht scheitern.
Auf den ersten Blick ist die zweite sicherer. Aber worin wird sich die
Softwareumgebung der beiden Firewalls unterscheiden?
Exploits würden auf beiden scheitern oder erfolgreich sein.
Erst wenn die Internetfirewall eine andere Architekur (ARM oder PPC)
verwendet, macht das meiner Meinung nach Sinn, da fast alle Exploits
auf Buffer-Overflows mit i386 Opcodes aufbauen.
ARM: http://www.simtec.co.uk/products/EB110ATX/avail.html
Preis: ca 300-350EUR
Nur so neben bei: In der Firma habe ich auch die zweite Löung
implementiert.
> >
> > IPSEC hat den _riesen_ Vorteil ein etablierter Standard zu sein.
> > IPSEC hat den Nachteil etwas schwieriger in der Einrichtung zu sein.
>
> IPSec hat den nachteil nicht durch NAT/Masquerading durchzugehen. Dieses
> trifft man haeufig auf Konferenzen oder an Flughaefen in den
> Wirelessnetzen.
Da hat OpenVPN mit dem UDP Transport einen Vorteil.
Frank.
--
Frank Matthieß
Programm: "Sobald eine Datei von einem Virus infiziert werden kann, ist es ein
Programm." -- Markus Kuhn
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20031106/4c167aa4/attachment.sig>
More information about the Linux
mailing list