RE: vpn-internet sorunu
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 3 sonuçtan 1 ile 3 arasındakiler gösteriliyor.
RE: vpn-internet sorunu

Teşekkürler. Ancak bu çözümde nasıl güvenli internet e çıklacak onu pek anlamadım. Sonuçta bir tarafta vpn e bağlı olacak diğer taraftan internet e bu vpnden bağımsız olarak çıkıyor olacak. Bu

  1. #1
    Yalcin ERDEM Guest

    Standart RE: vpn-internet sorunu

    Teşekkürler. Ancak bu çözümde nasıl güvenli internet e çıklacak onu pek anlamadım. Sonuçta bir tarafta vpn e bağlı olacak diğer taraftan internet e bu vpnden bağımsız olarak çıkıyor olacak. Bu konuyu biraz daha açıklar mısınız? Bir de vpn bağladıktan sonra internet erişimin iç networkten sağlarsam pek bir açık kalmaz heralde?

    Bunun için firewall konfigurasyonunda bir değişiklik yapmaya gerek var mı ve kullanmam gereken web proxy server hakkında bilgi verir misininiz?



    ________________________________

    From: Serhat Erkan [mailto:[email protected]]
    Sent: Wednesday, March 24, 2004 11:47 AM
    To: [email][email protected][/email]
    Subject: RE: [cisco-ttl] vpn-internet sorunu



    Selam Yalcin,

    Risk her zaman var. Bu riski minimize etmen icin uzaktan merkezi yonetilen firewall turu (kullanici tarafindan mudahale edilemeyen, kapatilamayan) uygulamalar kullanman faydalı. Ancak sozunu ettigin risk SPLIT tunelde dahafazla, nede olsa kullanici ciplak olarak internetde !..



    Ufak bir cozum; kullanicinin dialer programini Cisco VPN Client yaparsak once Dial eder-sonra client bağlanır-daha sonrada daha güvenli internete çıkabilir..



    Fakat ic networkundeki herhangi bir makineyede soz konusu olay gerceklesirse Vi Pİ EN - Mi Pi EN farketmez. Tak farkı içeri doğru yönelen hacker trafiğinide güvene almış olursun :(



    Ama unutmamak gerekirki RİSK her zaman vardır, RİSKLER yokedilemez ancak ve ancak YÖNETİLEBİLİR !..



    Sevgiler, saygılar :))



    not: Hakan hoca, bi sakıncası yoksa soylesene neler gelecekmiş 7.0'da...



    -----Original Message-----
    From: Yalcin ERDEM [mailto:[email protected]]
    Sent: Wednesday, March 24, 2004 11:25 AM
    To: [email][email protected][/email]
    Subject: RE: [cisco-ttl] vpn-internet sorunu

    Yardımlarınız için teşekkürler.

    Aslında benim derdim vpn le bağlanan kullanıcılardan ziyade iç network e bir zeval gelir mi diye :-)

    Bir şekilde internetten vpn kullanıcısının bilgisayarına bağlanan bir hacker iç networkumuze de girmiş olmaz mı?.. böyle bir açık sözkonusu mu?.. eğer öyle ise bu göze alınabilecek kadarzayıf bir açık mı?



    Yalçın


    ________________________________


    From: Hakan Tagmac (htagmac) [mailto:[email protected]]
    Sent: Wednesday, March 24, 2004 11:03 AM
    To: [email][email protected][/email]
    Subject: RE: [cisco-ttl] vpn-internet sorunu



    Merhaba,



    estaffurullah diyerek soze başlayayım. PIX 7.0da çok fazla yeni özellik gelecek. Split tunelde sakınca yokken derken de niyetim Serhat ile aynı. Çünkü makinada antivirüs, hids,personal fw veya cisco securtiy agent tarzı bir program yüklü ise makina kendini koruyacaktır..



    Sırf bu makinalar virüs vs etkilenmesin diye split tunel yapılmadan direk merkezden çıkarılmak isteniyorsa bu çözüm değildir. Kullanıcı vpn client'ı koparınca yine internete dolaşacak. virüs vs'den etkilenecekse yine etkilenecektir.



    Hakan



    -----Original Message-----
    From: Serhat Erkan [mailto:[email protected]]
    Sent: Wednesday, March 24, 2004 9:54 AM
    To: [email][email protected][/email]
    Subject: RE: [cisco-ttl] vpn-internet sorunu

    selam,

    Açıkçası PIX açısından şanssız bir durum. Her ne kadar son 2 senede PIX çok yol kat etsede, sanırım burada çuvallamış.Ayrıca SPLIT tunel yapmak merkezdeki politikaları uygulayamamak açısından hoş bir durum değil (tabii eğer proxy uygulanmazsa). Eğer Websense, web antivirus check gibi yan uygulamalar varsa kesinlikle NO SPLIT derim ..



    Ama CCIE olmuş arkadaşlarımız bize "no problem" derse bizde eger basimizi yapariz konfigurasyonu !..



    Serhat

    -----Original Message-----
    From: Hakan Tagmac (htagmac) [mailto:[email protected]]
    Sent: Tuesday, March 23, 2004 9:06 PM
    To: [email][email protected][/email]
    Subject: RE: [cisco-ttl] vpn-internet sorunu

    Merhaba,



    PIX outside interface'ine gelen vpn trafiği unencrypted olarak aynı interface'den dışarı çıkamaz. Router ve vpn3000'de ise tek bir interface'den gelen trafik aynı interface'den geri gidebilir.Bu durumda yapılabilecekler;Yaptığınız gibi split tunnel konfigure etmek. Böylelikle vpn client merkeze gidiyorsa kriptolu gider. Internete çıkıyorsa kriptosuz olarak direk gideceği yere gider. Böylelikle merkezdeki bandgenişliğinide olumsuz etkilemez. Bu yolun bir sakıncası yok.Diğer yol, Örneğin DMZ'e web proxy server koymak. VPN client merkeze gelir ve proxy üstünden internet çıkar.



    Hakan



    -----Original Message-----
    From: Yalcin ERDEM [mailto:[email protected]]
    Sent: Tuesday, March 23, 2004 2:45 PM
    To: [email][email protected][/email]
    Subject: [cisco-ttl] vpn-internet sorunu

    Merhaba;

    Şirkette tanımladığım vpnle bağlanan kullanıcılar vpn ebağlandıklarında internet e erişemez hale geliyorlar.firewallda vpngroup superteam split-tunnel 80

    Komutunu yazdığımda internet bağlanabilyorlar ancak şirketin çıkış ipsinden değil internete bağlanırken ispden aldıkları ip ile.

    Ben vpn connected olduğu zaman internet çıkışlarını da şirket üzerinden istiyorum. Bu konuda yardım edebilir misiniz?

    Konfigurasyonum:



    aaa-server partnerauth protocol radius

    aaa-server radius protocol radius

    aaa-server partnerauth (inside) host 10.0.0.32 xxxxxx timeout 5

    isakmp policy 8 encr 3des

    isakmp policy 8 hash md5

    isakmp policy 8 authentication pre-share

    isakmp policy 8 group 2

    crypto ipsec transform-set strong-des esp-3des esp-sha-hmac

    crypto dynamic-map cisco 4 set transform-set strong-des

    crypto map partner-map 20 ipsec-isakmp dynamic cisco

    crypto map partner-map interface outside

    crypto map partner-map client authentication partnerauth

    crypto map partner-map client configuration address initiate

    isakmp key Pass12345 address 0.0.0.0 netmask 0.0.0.0

    access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0

    nat (inside) 0 access-list 80

    ip local pool sirket 10.1.1.1-10.1.1.254

    vpngroup superteam address-pool sirket

    vpngroup superteam dns-server 10.0.0.5

    vpngroup superteam wins-server 10.0.0.5

    vpngroup superteam default-domain tikle.com

    vpngroup superteam idle-time 1800



    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.



    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.





















    ____________________________________________________________________________________________________________________________
    Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.


    This e-mail has been sent by the sender under his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. accepts no responsibility.

    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bire-posta gönderebilirsiniz.




    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bire-posta gönderebilirsiniz.





    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bire-posta gönderebilirsiniz.























    ____________________________________________________________________________________________________________________________
    Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.


    This e-mail has been sent by the sender under his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. accepts no responsibility.

    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.




    ________________________________

    Yahoo! Groups Links

    * To visit your group on the web, go to:
    [url]http://groups.yahoo.com/group/cisco-ttl/[/url]

    * To unsubscribe from this group, send an email to:
    [email][email protected][/email] <mailto:[email protected]?subject=Unsubscribe>

    * Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service <http://docs.yahoo.com/info/terms/> .



  2. #2
    Serkan Guest

    Standart Re: vpn-internet sorunu

    Yalcin gerci Hakan cok guzel yazmis ama ben ozetliyeyim istersen

    Eger VPN'le gelen kullanicilarin guvenliginden emin degilsen split
    tunnel konfigurasyonu kaldir.Dmz veya ic networkunde bir proxy server
    kur.(MS Proxy,ISA Server Cache mode,Cisco Cache Engine veya benzeri
    appliance'lar olabilir.) Boylece VPN baglantisi oldugu surece ne o
    kullanici merkez disindan bir yere ulasabilir ne de o makineye
    disaridan biri erisebilir.Kullanıcılarda proxy uzerinden internete
    cikarlar.
    Ama kesinlikle bir personal firewall ve surekli guncellenen bir anti
    virus yazılımı sart.
    Soyleki eger shared key authenticaion'u yapıyorsan yani ek bir
    authentication sistemi (One time password ya da RADIUS gibi )
    kullanmıyorsan kullanıcı vpn dial dediginde direk baglaniyorsa
    sistemi ele geciren bir hacker vpn dial ederek merkezine de
    erisebilir.Ya da makineye bulasmis bir trojan vpn baglantisi sonrası
    merkez network'e de bulasabilir.

    Bu arada PIX de merkezi policy yonetimi konusunu soran
    arkadasa:maalesef su an bu destek PIX'de yok.En azindan su an..
    Bu arada Hakan eger elinde 7.0'a iliskin yeni gelen ozelliklere
    ilisikin bir bilgi varsa sakincasi da yoksa paylasirsan sevinirim..

    Herkese kolay gelsin iyi calismalar

    --- In [email][email protected][/email], "Yalcin ERDEM" <[email protected]>
    wrote:[color=blue]
    > Teşekkürler. Ancak bu çözümde nasıl güvenli internet e çıklacak [/color]
    onu pek anlamadım. Sonuçta bir tarafta vpn e bağlı olacak diğer
    taraftan internet e bu vpnden bağımsız olarak çıkıyor olacak. Bu
    konuyu biraz daha açıklar mısınız? Bir de vpn bağladıktan sonra
    internet erişimin iç networkten sağlarsam pek bir açık kalmaz
    heralde?[color=blue]
    >
    > Bunun için firewall konfigurasyonunda bir değişiklik yapmaya [/color]
    gerek var mı ve kullanmam gereken web proxy server hakkında bilgi
    verir misininiz? [color=blue]
    >
    >
    >
    > ________________________________
    >
    > From: Serhat Erkan [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 11:47 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    >
    >
    > Selam Yalcin,
    >
    > Risk her zaman var. Bu riski minimize etmen icin uzaktan merkezi [/color]
    yonetilen firewall turu (kullanici tarafindan mudahale edilemeyen,
    kapatilamayan) uygulamalar kullanman faydalı. Ancak sozunu ettigin
    risk SPLIT tunelde daha fazla, nede olsa kullanici ciplak olarak
    internetde !.. [color=blue]
    >
    >
    >
    > Ufak bir cozum; kullanicinin dialer programini Cisco VPN Client [/color]
    yaparsak once Dial eder-sonra client bağlanır-daha sonrada daha
    güvenli internete çıkabilir.. [color=blue]
    >
    >
    >
    > Fakat ic networkundeki herhangi bir makineyede soz konusu olay [/color]
    gerceklesirse Vi Pİ EN - Mi Pi EN farketmez. Tak farkı içeri doğru
    yönelen hacker trafiğinide güvene almış olursun :([color=blue]
    >
    >
    >
    > Ama unutmamak gerekirki RİSK her zaman vardır, RİSKLER yokedilemez [/color]
    ancak ve ancak YÖNETİLEBİLİR !..[color=blue]
    >
    >
    >
    > Sevgiler, saygılar :))
    >
    >
    >
    > not: Hakan hoca, bi sakıncası yoksa soylesene neler gelecekmiş [/color]
    7.0'da..[color=blue]
    >
    >
    >
    > -----Original Message-----
    > From: Yalcin ERDEM [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 11:25 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    > Yardımlarınız için teşekkürler.
    >
    > Aslında benim derdim vpn le bağlanan kullanıcılardan ziyade [/color]
    iç network e bir zeval gelir mi diye :-)[color=blue]
    >
    > Bir şekilde internetten vpn kullanıcısının bilgisayarına [/color]
    bağlanan bir hacker iç networkumuze de girmiş olmaz mı?.. böyle
    bir açık sözkonusu mu?.. eğer öyle ise bu göze alınabilecek kadar
    zayıf bir açık mı?[color=blue]
    >
    >
    >
    > Yalçın
    >
    >
    > ________________________________
    >
    >
    > From: Hakan Tagmac (htagmac) [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 11:03 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    >
    >
    > Merhaba,
    >
    >
    >
    > estaffurullah diyerek soze başlayayım. PIX 7.0da çok fazla [/color]
    yeni özellik gelecek. Split tunelde sakınca yokken derken de
    niyetim Serhat ile aynı. Çünkü makinada antivirüs, hids,personal fw
    veya cisco securtiy agent tarzı bir program yüklü ise makina kendini
    koruyacaktır. [color=blue]
    >
    >
    >
    > Sırf bu makinalar virüs vs etkilenmesin diye split tunel [/color]
    yapılmadan direk merkezden çıkarılmak isteniyorsa bu çözüm
    değildir. Kullanıcı vpn client'ı koparınca yine internete
    dolaşacak. virüs vs'den etkilenecekse yine etkilenecektir.[color=blue]
    >
    >
    >
    > Hakan
    >
    >
    >
    > -----Original Message-----
    > From: Serhat Erkan [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 9:54 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    > selam,
    >
    > Açıkçası PIX açısından şanssız bir durum. Her ne [/color]
    kadar son 2 senede PIX çok yol kat etsede, sanırım burada
    çuvallamış. Ayrıca SPLIT tunel yapmak merkezdeki politikaları
    uygulayamamak açısından hoş bir durum değil (tabii eğer proxy
    uygulanmazsa). Eğer Websense, web antivirus check gibi yan
    uygulamalar varsa kesinlikle NO SPLIT derim .. [color=blue]
    >
    >
    >
    > Ama CCIE olmuş arkadaşlarımız bize "no problem" [/color]
    derse bizde eger basimizi yapariz konfigurasyonu !..[color=blue]
    >
    >
    >
    > Serhat
    >
    > -----Original Message-----
    > From: Hakan Tagmac (htagmac) [/color]
    [mailto:[email protected]] [color=blue]
    > Sent: Tuesday, March 23, 2004 9:06 PM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    > Merhaba,
    >
    >
    >
    > PIX outside interface'ine gelen vpn trafiği [/color]
    unencrypted olarak aynı interface'den dışarı çıkamaz. Router ve
    vpn3000'de ise tek bir interface'den gelen trafik aynı interface'den
    geri gidebilir.Bu durumda yapılabilecekler;Yaptığınız gibi split
    tunnel konfigure etmek. Böylelikle vpn client merkeze gidiyorsa
    kriptolu gider. Internete çıkıyorsa kriptosuz olarak direk gideceği
    yere gider. Böylelikle merkezdeki bandgenişliğinide olumsuz
    etkilemez. Bu yolun bir sakıncası yok.Diğer yol, Örneğin DMZ'e web
    proxy server koymak. VPN client merkeze gelir ve proxy üstünden
    internet çıkar.[color=blue]
    >
    >
    >
    > Hakan
    >
    >
    >
    > -----Original Message-----
    > From: Yalcin ERDEM [/color]
    [mailto:[email protected]] [color=blue]
    > Sent: Tuesday, March 23, 2004 2:45 PM
    > To: [email][email protected][/email]
    > Subject: [cisco-ttl] vpn-internet [/color]
    sorunu[color=blue]
    >
    > Merhaba;
    >
    > Şirkette tanımladığım vpnle bağlanan [/color]
    kullanıcılar vpn e bağlandıklarında internet e erişemez hale
    geliyorlar.firewallda vpngroup superteam split-tunnel 80[color=blue]
    >
    > Komutunu yazdığımda internet [/color]
    bağlanabilyorlar ancak şirketin çıkış ipsinden değil internete
    bağlanırken ispden aldıkları ip ile. [color=blue]
    >
    > Ben vpn connected olduğu zaman [/color]
    internet çıkışlarını da şirket üzerinden istiyorum. Bu konuda yardım
    edebilir misiniz?[color=blue]
    >
    > Konfigurasyonum:
    >
    >
    >
    > aaa-server partnerauth protocol [/color]
    radius[color=blue]
    >
    > aaa-server radius protocol radius
    >
    > aaa-server partnerauth (inside) host [/color]
    10.0.0.32 xxxxxx timeout 5[color=blue]
    >
    > isakmp policy 8 encr 3des
    >
    > isakmp policy 8 hash md5
    >
    > isakmp policy 8 authentication pre-[/color]
    share[color=blue]
    >
    > isakmp policy 8 group 2
    >
    > crypto ipsec transform-set strong-[/color]
    des esp-3des esp-sha-hmac[color=blue]
    >
    > crypto dynamic-map cisco 4 set [/color]
    transform-set strong-des[color=blue]
    >
    > crypto map partner-map 20 ipsec-[/color]
    isakmp dynamic cisco[color=blue]
    >
    > crypto map partner-map interface [/color]
    outside[color=blue]
    >
    > crypto map partner-map client [/color]
    authentication partnerauth [color=blue]
    >
    > crypto map partner-map client [/color]
    configuration address initiate[color=blue]
    >
    > isakmp key Pass12345 address 0.0.0.0 [/color]
    netmask 0.0.0.0 [color=blue]
    >
    > access-list 80 permit ip 10.0.0.0 [/color]
    255.255.255.0 10.1.1.0 255.255.255.0 [color=blue]
    >
    > nat (inside) 0 access-list 80
    >
    > ip local pool sirket 10.1.1.1-[/color]
    10.1.1.254[color=blue]
    >
    > vpngroup superteam address-pool [/color]
    sirket[color=blue]
    >
    > vpngroup superteam dns-server [/color]
    10.0.0.5[color=blue]
    >
    > vpngroup superteam wins-server [/color]
    10.0.0.5[color=blue]
    >
    > vpngroup superteam default-domain [/color]
    tikle.com[color=blue]
    >
    > vpngroup superteam idle-time 1800
    >
    >
    >
    > Bu listenin Cisco Systems ile [/color]
    dogrudan herhangi bir baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    > Bu listenin Cisco Systems ile [/color]
    dogrudan herhangi bir baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    > [/color]
    _____________________________________________________________
    _______________________________________________________________ [color=blue]
    > Bu e-mail'in tüm icerigi gönderenin kisisel [/color]
    tasarrufu ile olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim
    ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul
    etmez.[color=blue]
    >
    >
    > This e-mail has been sent by the sender under [/color]
    his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart
    Hizmetleri A.S. accepts no responsibility. [color=blue]
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir [/color]
    baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir [/color]
    baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir [/color]
    baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    > [/color]
    _____________________________________________________________________
    _______________________________________________________ [color=blue]
    > Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile [/color]
    olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim ve Kart
    Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.[color=blue]
    >
    >
    > This e-mail has been sent by the sender under his/her own [/color]
    individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri
    A.S. accepts no responsibility. [color=blue]
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi [/color]
    bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için [email][email protected][/email] [/color]
    adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    > ________________________________
    >
    > Yahoo! Groups Links
    >
    > * To visit your group on the web, go to:
    > [url]http://groups.yahoo.com/group/cisco-ttl/[/url]
    >
    > * To unsubscribe from this group, send an email to:
    > [email][email protected][/email] <mailto:cisco-ttl-[/color]
    [email][email protected][/email]?subject=Unsubscribe> [color=blue]
    >
    > * Your use of Yahoo! Groups is subject to the Yahoo! Terms of [/color]
    Service <http://docs.yahoo.com/info/terms/> .



    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.
    Yahoo! Groups Links

    <*> To visit your group on the web, go to:
    [url]http://groups.yahoo.com/group/cisco-ttl/[/url]

    <*> To unsubscribe from this group, send an email to:
    [email][email protected][/email]

    <*> Your use of Yahoo! Groups is subject to:
    [url]http://docs.yahoo.com/info/terms/[/url]




  3. #3
    Serkan Guest

    Standart Re: vpn-internet sorunu

    Yalcin gerci Hakan cok guzel yazmis ama ben ozetliyeyim istersen

    Eger VPN'le gelen kullanicilarin guvenliginden emin degilsen split
    tunnel konfigurasyonu kaldir.Dmz veya ic networkunde bir proxy server
    kur.(MS Proxy,ISA Server Cache mode,Cisco Cache Engine veya benzeri
    appliance'lar olabilir.) Boylece VPN baglantisi oldugu surece ne o
    kullanici merkez disindan bir yere ulasabilir ne de o makineye
    disaridan biri erisebilir.Kullanıcılarda proxy uzerinden internete
    cikarlar.
    Ama kesinlikle bir personal firewall ve surekli guncellenen bir anti
    virus yazılımı sart.
    Soyleki eger shared key authenticaion'u yapıyorsan yani ek bir
    authentication sistemi (One time password ya da RADIUS gibi )
    kullanmıyorsan kullanıcı vpn dial dediginde direk baglaniyorsa
    sistemi ele geciren bir hacker vpn dial ederek merkezine de
    erisebilir.Ya da makineye bulasmis bir trojan vpn baglantisi sonrası
    merkez network'e de bulasabilir.

    Bu arada PIX de merkezi policy yonetimi konusunu soran
    arkadasa:maalesef su an bu destek PIX'de yok.En azindan su an..
    Bu arada Hakan eger elinde 7.0'a iliskin yeni gelen ozelliklere
    ilisikin bir bilgi varsa sakincasi da yoksa paylasirsan sevinirim..

    Herkese kolay gelsin iyi calismalar

    --- In [email][email protected][/email], "Yalcin ERDEM" <[email protected]>
    wrote:[color=blue]
    > Teşekkürler. Ancak bu çözümde nasıl güvenli internet e çıklacak [/color]
    onu pek anlamadım. Sonuçta bir tarafta vpn e bağlı olacak diğer
    taraftan internet e bu vpnden bağımsız olarak çıkıyor olacak. Bu
    konuyu biraz daha açıklar mısınız? Bir de vpn bağladıktan sonra
    internet erişimin iç networkten sağlarsam pek bir açık kalmaz
    heralde?[color=blue]
    >
    > Bunun için firewall konfigurasyonunda bir değişiklik yapmaya [/color]
    gerek var mı ve kullanmam gereken web proxy server hakkında bilgi
    verir misininiz? [color=blue]
    >
    >
    >
    > ________________________________
    >
    > From: Serhat Erkan [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 11:47 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    >
    >
    > Selam Yalcin,
    >
    > Risk her zaman var. Bu riski minimize etmen icin uzaktan merkezi [/color]
    yonetilen firewall turu (kullanici tarafindan mudahale edilemeyen,
    kapatilamayan) uygulamalar kullanman faydalı. Ancak sozunu ettigin
    risk SPLIT tunelde daha fazla, nede olsa kullanici ciplak olarak
    internetde !.. [color=blue]
    >
    >
    >
    > Ufak bir cozum; kullanicinin dialer programini Cisco VPN Client [/color]
    yaparsak once Dial eder-sonra client bağlanır-daha sonrada daha
    güvenli internete çıkabilir.. [color=blue]
    >
    >
    >
    > Fakat ic networkundeki herhangi bir makineyede soz konusu olay [/color]
    gerceklesirse Vi Pİ EN - Mi Pi EN farketmez. Tak farkı içeri doğru
    yönelen hacker trafiğinide güvene almış olursun :([color=blue]
    >
    >
    >
    > Ama unutmamak gerekirki RİSK her zaman vardır, RİSKLER yokedilemez [/color]
    ancak ve ancak YÖNETİLEBİLİR !..[color=blue]
    >
    >
    >
    > Sevgiler, saygılar :))
    >
    >
    >
    > not: Hakan hoca, bi sakıncası yoksa soylesene neler gelecekmiş [/color]
    7.0'da..[color=blue]
    >
    >
    >
    > -----Original Message-----
    > From: Yalcin ERDEM [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 11:25 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    > Yardımlarınız için teşekkürler.
    >
    > Aslında benim derdim vpn le bağlanan kullanıcılardan ziyade [/color]
    iç network e bir zeval gelir mi diye :-)[color=blue]
    >
    > Bir şekilde internetten vpn kullanıcısının bilgisayarına [/color]
    bağlanan bir hacker iç networkumuze de girmiş olmaz mı?.. böyle
    bir açık sözkonusu mu?.. eğer öyle ise bu göze alınabilecek kadar
    zayıf bir açık mı?[color=blue]
    >
    >
    >
    > Yalçın
    >
    >
    > ________________________________
    >
    >
    > From: Hakan Tagmac (htagmac) [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 11:03 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    >
    >
    > Merhaba,
    >
    >
    >
    > estaffurullah diyerek soze başlayayım. PIX 7.0da çok fazla [/color]
    yeni özellik gelecek. Split tunelde sakınca yokken derken de
    niyetim Serhat ile aynı. Çünkü makinada antivirüs, hids,personal fw
    veya cisco securtiy agent tarzı bir program yüklü ise makina kendini
    koruyacaktır. [color=blue]
    >
    >
    >
    > Sırf bu makinalar virüs vs etkilenmesin diye split tunel [/color]
    yapılmadan direk merkezden çıkarılmak isteniyorsa bu çözüm
    değildir. Kullanıcı vpn client'ı koparınca yine internete
    dolaşacak. virüs vs'den etkilenecekse yine etkilenecektir.[color=blue]
    >
    >
    >
    > Hakan
    >
    >
    >
    > -----Original Message-----
    > From: Serhat Erkan [mailto:[email protected]]
    > Sent: Wednesday, March 24, 2004 9:54 AM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    > selam,
    >
    > Açıkçası PIX açısından şanssız bir durum. Her ne [/color]
    kadar son 2 senede PIX çok yol kat etsede, sanırım burada
    çuvallamış. Ayrıca SPLIT tunel yapmak merkezdeki politikaları
    uygulayamamak açısından hoş bir durum değil (tabii eğer proxy
    uygulanmazsa). Eğer Websense, web antivirus check gibi yan
    uygulamalar varsa kesinlikle NO SPLIT derim .. [color=blue]
    >
    >
    >
    > Ama CCIE olmuş arkadaşlarımız bize "no problem" [/color]
    derse bizde eger basimizi yapariz konfigurasyonu !..[color=blue]
    >
    >
    >
    > Serhat
    >
    > -----Original Message-----
    > From: Hakan Tagmac (htagmac) [/color]
    [mailto:[email protected]] [color=blue]
    > Sent: Tuesday, March 23, 2004 9:06 PM
    > To: [email][email protected][/email]
    > Subject: RE: [cisco-ttl] vpn-internet sorunu
    >
    > Merhaba,
    >
    >
    >
    > PIX outside interface'ine gelen vpn trafiği [/color]
    unencrypted olarak aynı interface'den dışarı çıkamaz. Router ve
    vpn3000'de ise tek bir interface'den gelen trafik aynı interface'den
    geri gidebilir.Bu durumda yapılabilecekler;Yaptığınız gibi split
    tunnel konfigure etmek. Böylelikle vpn client merkeze gidiyorsa
    kriptolu gider. Internete çıkıyorsa kriptosuz olarak direk gideceği
    yere gider. Böylelikle merkezdeki bandgenişliğinide olumsuz
    etkilemez. Bu yolun bir sakıncası yok.Diğer yol, Örneğin DMZ'e web
    proxy server koymak. VPN client merkeze gelir ve proxy üstünden
    internet çıkar.[color=blue]
    >
    >
    >
    > Hakan
    >
    >
    >
    > -----Original Message-----
    > From: Yalcin ERDEM [/color]
    [mailto:[email protected]] [color=blue]
    > Sent: Tuesday, March 23, 2004 2:45 PM
    > To: [email][email protected][/email]
    > Subject: [cisco-ttl] vpn-internet [/color]
    sorunu[color=blue]
    >
    > Merhaba;
    >
    > Şirkette tanımladığım vpnle bağlanan [/color]
    kullanıcılar vpn e bağlandıklarında internet e erişemez hale
    geliyorlar.firewallda vpngroup superteam split-tunnel 80[color=blue]
    >
    > Komutunu yazdığımda internet [/color]
    bağlanabilyorlar ancak şirketin çıkış ipsinden değil internete
    bağlanırken ispden aldıkları ip ile. [color=blue]
    >
    > Ben vpn connected olduğu zaman [/color]
    internet çıkışlarını da şirket üzerinden istiyorum. Bu konuda yardım
    edebilir misiniz?[color=blue]
    >
    > Konfigurasyonum:
    >
    >
    >
    > aaa-server partnerauth protocol [/color]
    radius[color=blue]
    >
    > aaa-server radius protocol radius
    >
    > aaa-server partnerauth (inside) host [/color]
    10.0.0.32 xxxxxx timeout 5[color=blue]
    >
    > isakmp policy 8 encr 3des
    >
    > isakmp policy 8 hash md5
    >
    > isakmp policy 8 authentication pre-[/color]
    share[color=blue]
    >
    > isakmp policy 8 group 2
    >
    > crypto ipsec transform-set strong-[/color]
    des esp-3des esp-sha-hmac[color=blue]
    >
    > crypto dynamic-map cisco 4 set [/color]
    transform-set strong-des[color=blue]
    >
    > crypto map partner-map 20 ipsec-[/color]
    isakmp dynamic cisco[color=blue]
    >
    > crypto map partner-map interface [/color]
    outside[color=blue]
    >
    > crypto map partner-map client [/color]
    authentication partnerauth [color=blue]
    >
    > crypto map partner-map client [/color]
    configuration address initiate[color=blue]
    >
    > isakmp key Pass12345 address 0.0.0.0 [/color]
    netmask 0.0.0.0 [color=blue]
    >
    > access-list 80 permit ip 10.0.0.0 [/color]
    255.255.255.0 10.1.1.0 255.255.255.0 [color=blue]
    >
    > nat (inside) 0 access-list 80
    >
    > ip local pool sirket 10.1.1.1-[/color]
    10.1.1.254[color=blue]
    >
    > vpngroup superteam address-pool [/color]
    sirket[color=blue]
    >
    > vpngroup superteam dns-server [/color]
    10.0.0.5[color=blue]
    >
    > vpngroup superteam wins-server [/color]
    10.0.0.5[color=blue]
    >
    > vpngroup superteam default-domain [/color]
    tikle.com[color=blue]
    >
    > vpngroup superteam idle-time 1800
    >
    >
    >
    > Bu listenin Cisco Systems ile [/color]
    dogrudan herhangi bir baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    > Bu listenin Cisco Systems ile [/color]
    dogrudan herhangi bir baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    > [/color]
    _____________________________________________________________
    _______________________________________________________________ [color=blue]
    > Bu e-mail'in tüm icerigi gönderenin kisisel [/color]
    tasarrufu ile olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim
    ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul
    etmez.[color=blue]
    >
    >
    > This e-mail has been sent by the sender under [/color]
    his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart
    Hizmetleri A.S. accepts no responsibility. [color=blue]
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir [/color]
    baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir [/color]
    baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir [/color]
    baglantisi bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için cisco-ttl-[/color]
    [email][email protected][/email] adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    > [/color]
    _____________________________________________________________________
    _______________________________________________________ [color=blue]
    > Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile [/color]
    olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim ve Kart
    Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.[color=blue]
    >
    >
    > This e-mail has been sent by the sender under his/her own [/color]
    individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri
    A.S. accepts no responsibility. [color=blue]
    >
    > Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi [/color]
    bulunmamaktadir. [color=blue]
    >
    > Listeden cikmak için [email][email protected][/email] [/color]
    adresine bir e-posta gönderebilirsiniz. [color=blue]
    >
    >
    >
    >
    > ________________________________
    >
    > Yahoo! Groups Links
    >
    > * To visit your group on the web, go to:
    > [url]http://groups.yahoo.com/group/cisco-ttl/[/url]
    >
    > * To unsubscribe from this group, send an email to:
    > [email][email protected][/email] <mailto:cisco-ttl-[/color]
    [email][email protected][/email]?subject=Unsubscribe> [color=blue]
    >
    > * Your use of Yahoo! Groups is subject to the Yahoo! Terms of [/color]
    Service <http://docs.yahoo.com/info/terms/> .



    Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.
    Yahoo! Groups Links

    <*> To visit your group on the web, go to:
    [url]http://groups.yahoo.com/group/cisco-ttl/[/url]

    <*> To unsubscribe from this group, send an email to:
    [email][email protected][/email]

    <*> Your use of Yahoo! Groups is subject to:
    [url]http://docs.yahoo.com/info/terms/[/url]




+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok