Selam Yalcin,
Risk her zaman var. Bu riski minimize etmen icin uzaktan merkezi yonetilen firewall turu (kullanici tarafindan mudahale edilemeyen, kapatilamayan) uygulamalar kullanman faydalı. Ancak sozunu ettigin risk SPLIT tunelde dahafazla, nede olsa kullanici ciplak olarak internetde !..

Ufak bir cozum; kullanicinin dialer programini Cisco VPN Client yaparsak once Dial eder-sonra client bağlanır-daha sonrada daha güvenli internete çıkabilir..

Fakat ic networkundeki herhangi bir makineyede soz konusu olay gerceklesirse Vi Pİ EN - Mi Pi EN farketmez. Tak farkı içeri doğru yönelen hacker trafiğinide güvene almış olursun :(

Ama unutmamak gerekirki RİSK her zaman vardır, RİSKLER yokedilemez ancak ve ancak YÖNETİLEBİLİR !..

Sevgiler, saygılar :))

not: Hakan hoca, bi sakıncası yoksa soylesene neler gelecekmiş 7.0'da...

-----Original Message-----
From: Yalcin ERDEM [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 11:25 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu



Yardımlarınız için teşekkürler.

Aslında benim derdim vpn le bağlanan kullanıcılardan ziyade iç network e bir zeval gelir mi diye :-)

Bir şekilde internetten vpn kullanıcısının bilgisayarına bağlanan bir hacker iç networkumuze de girmiş olmaz mı?.. böyle bir açık sözkonusu mu?.. eğer öyle ise bu göze alınabilecek kadarzayıf bir açık mı?



Yalçın


_____


From: Hakan Tagmac (htagmac) [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 11:03 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu



Merhaba,



estaffurullah diyerek soze başlayayım. PIX 7.0da çok fazla yeni özellik gelecek. Split tunelde sakınca yokken derken de niyetim Serhat ile aynı. Çünkü makinada antivirüs, hids,personal fw veya cisco securtiy agent tarzı bir program yüklü ise makina kendini koruyacaktır..



Sırf bu makinalar virüs vs etkilenmesin diye split tunel yapılmadan direk merkezden çıkarılmak isteniyorsa bu çözüm değildir. Kullanıcı vpn client'ı koparınca yine internete dolaşacak. virüs vs'den etkilenecekse yine etkilenecektir.



Hakan



-----Original Message-----
From: Serhat Erkan [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 9:54 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu

selam,

Açıkçası PIX açısından şanssız bir durum. Her ne kadar son 2 senede PIX çok yol kat etsede, sanırım burada çuvallamış.Ayrıca SPLIT tunel yapmak merkezdeki politikaları uygulayamamak açısından hoş bir durum değil (tabii eğer proxy uygulanmazsa). Eğer Websense, web antivirus check gibi yan uygulamalar varsa kesinlikle NO SPLIT derim ..



Ama CCIE olmuş arkadaşlarımız bize "no problem" derse bizde eger basimizi yapariz konfigurasyonu !..



Serhat

-----Original Message-----
From: Hakan Tagmac (htagmac) [mailto:[email protected]]
Sent: Tuesday, March 23, 2004 9:06 PM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu

Merhaba,



PIX outside interface'ine gelen vpn trafiği unencrypted olarak aynı interface'den dışarı çıkamaz. Router ve vpn3000'de ise tek bir interface'den gelen trafik aynı interface'den geri gidebilir.Bu durumda yapılabilecekler;Yaptığınız gibi split tunnel konfigure etmek. Böylelikle vpn client merkeze gidiyorsa kriptolu gider. Internete çıkıyorsa kriptosuz olarak direk gideceği yere gider. Böylelikle merkezdeki bandgenişliğinide olumsuz etkilemez. Bu yolun bir sakıncası yok.Diğer yol, Örneğin DMZ'e web proxy server koymak. VPN client merkeze gelir ve proxy üstünden internet çıkar.



Hakan



-----Original Message-----
From: Yalcin ERDEM [mailto:[email protected]]
Sent: Tuesday, March 23, 2004 2:45 PM
To: [email][email protected][/email]
Subject: [cisco-ttl] vpn-internet sorunu

Merhaba;

Şirkette tanımladığım vpnle bağlanan kullanıcılar vpn ebağlandıklarında internet e erişemez hale geliyorlar.firewallda vpngroup superteam split-tunnel 80

Komutunu yazdığımda internet bağlanabilyorlar ancak şirketin çıkış ipsinden değil internete bağlanırken ispden aldıkları ip ile.

Ben vpn connected olduğu zaman internet çıkışlarını da şirket üzerinden istiyorum. Bu konuda yardım edebilir misiniz?

Konfigurasyonum:



aaa-server partnerauth protocol radius

aaa-server radius protocol radius

aaa-server partnerauth (inside) host 10.0.0.32 xxxxxx timeout 5

isakmp policy 8 encr 3des

isakmp policy 8 hash md5

isakmp policy 8 authentication pre-share

isakmp policy 8 group 2

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac

crypto dynamic-map cisco 4 set transform-set strong-des

crypto map partner-map 20 ipsec-isakmp dynamic cisco

crypto map partner-map interface outside

crypto map partner-map client authentication partnerauth

crypto map partner-map client configuration address initiate

isakmp key Pass12345 address 0.0.0.0 netmask 0.0.0.0

access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0

nat (inside) 0 access-list 80

ip local pool sirket 10.1.1.1-10.1.1.254

vpngroup superteam address-pool sirket

vpngroup superteam dns-server 10.0.0.5

vpngroup superteam wins-server 10.0.0.5

vpngroup superteam default-domain tikle.com

vpngroup superteam idle-time 1800



Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.



Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.





















____________________________________________________________________________________________________________________________
Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.


This e-mail has been sent by the sender under his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. accepts no responsibility.

Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bire-posta gönderebilirsiniz.




Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bire-posta gönderebilirsiniz.






Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bire-posta gönderebilirsiniz.



Yahoo! Groups Sponsor
ADVERTISEMENT
click here <http://rd.yahoo.com/SIG=12cm2b5dc/M=268585.4521611.5694062.1261774/D=egroupweb/S=1705004726:HM/EXP=1080206679/A=1950447/R=0/SIG=1245hvqf1/*http://ashnin.com/clk/muryutaitakenattogyo?YH=4521611&yhad=1950447>
<http://us.adserver.yahoo.com/l?M=268585.4521611.5694062.1261774/D=egroupweb/S=:HM/A=1950447/rand=432163286>


_____

Yahoo! Groups Links


* To visit your group on the web, go to:
[url]http://groups.yahoo.com/group/cisco-ttl/[/url]

* To unsubscribe from this group, send an email to:
[email][email protected][/email] <mailto:[email protected]?subject=Unsubscribe>

* Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service <http://docs.yahoo.com/info/terms/> .
























____________________________________________________________________________________________________________________________
Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.


This e-mail has been sent by the sender under his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. accepts no responsibility.