The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как сделать максимально безопасно?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как сделать максимально безопасно?"  
Сообщение от IronRUS email(ok) on 28-Ноя-07, 16:52 
Ситуация такая: Есть маршрутизатор Cisco 1760 к одному порту подклучена сеть, другой смотри в инет. Пользователь из инета создаёт VPDN соединение через pptp, тем самым получая доступ ко внутренней сети. Неавторизированный юзер не может вообще ничего сделать. Никакого дополнительного оборудования нет.
Обращение к знатокам: Что ещё можно сделать полезного для безопасности соединения? И что из того, что есть лишнее?

Собственно, конфиг вот:

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$YCRG$K.PDMs/RkkM4lbDoeNmzX/
!
username user password 7 1543595F
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login authen local
aaa authorization exec author local
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
!
no ip bootp server
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
no ftp-server write-enable
!
!
!
!
interface Ethernet0/0
ip address xx.xx.xx.xx xx.xx.xx.xx
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
half-duplex
!
interface FastEthernet0/0
ip address xx.xx.xx.xx xx.xx.xx.xx
speed auto
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip mtu 1492
peer default ip address pool ip_pool
ppp authentication chap ms-chap ms-chap-v2
!
ip local pool ip_pool xx.xx.xx.xx
ip classless
no ip http server
!
access-list 101 permit tcp any any eq 1723 log-input
access-list 101 permit gre any any
access-list 101 deny   tcp any any
no cdp run
!
line con 0
login authentication authen
line aux 0
login authentication authen
line vty 0 4
login authentication authen
!
!
end

Заранее благодарен!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как сделать максимально безопасно?"  
Сообщение от lejek (ok) on 28-Ноя-07, 21:04 
Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over IPSec).
Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В любом случае используйте username user secret вместо username user pass
Не нашел, где вы используете свой acl 101 (похоже вы его забыли применить).
ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, mtu 1460.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как сделать максимально безопасно?"  
Сообщение от IronRUS email(??) on 28-Ноя-07, 21:24 

>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее)

Не получится, доп. оборудование исключено.

>В любом случае используйте username user secret вместо username user pass

Попробуемс.

>Не нашел, где вы используете свой acl 101 (похоже вы его забыли
>применить).

Не забыл, просто, когда скидывал конфиг, пришлось его вырубить, а потом дописать забыл. =)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как сделать максимально безопасно?"  
Сообщение от IronRUS email(ok) on 28-Ноя-07, 21:27 
ACL на Fa0/0 на in.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как сделать максимально безопасно?"  
Сообщение от obstraction on 29-Ноя-07, 15:22 
>Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over
>IPSec).
>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В
>любом случае используйте username user secret вместо username user pass
>Не нашел, где вы используете свой acl 101 (похоже вы его забыли
>применить).
>ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь,
>mtu 1460.

не получиться. работать будет только username password

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как сделать максимально безопасно?"  
Сообщение от www.bc.ru Дмитрий Перов on 29-Ноя-07, 16:45 
>>Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over
>>IPSec).
>>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В
>>любом случае используйте username user secret вместо username user pass
>>Не нашел, где вы используете свой acl 101 (похоже вы его забыли
>>применить).
>>ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь,
>>mtu 1460.
>
>не получиться. работать будет только username password

Используйте аутентификацию по токенам )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как сделать максимально безопасно?"  
Сообщение от IronRUS email(ok) on 30-Ноя-07, 10:33 

>Используйте аутентификацию по токенам )

Дмитрий, сказал же, доп. оборудование исключено. =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру