split tunel yaparsan uzaktaki kullanici sadece merkeze gelirken kriptolu gelir.Gidip gazate okuyacaksa kriptosuz gider. Tereddut ettiginiz o anda o clientta biri root vs programi koyar onun ustunden merkeze gelirse. Bu isin sonu yok. Ya hacker bir remote admin programini o kullanici vpn client 'le merkeze baglanmadan koyarsa.Aynı sey...

Dolayisiyla o client'ı sadece vpn ile bağlı iken değil her an korumanın yolu personal firewall veya cisco security agent.



-----Original Message-----
From: Yalcin ERDEM [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 2:54 PM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu



Teşekkürler. Ancak bu çözümde nasıl güvenli internet e çıklacak onu pek anlamadım. Sonuçta bir tarafta vpn e bağlı olacakdiğer taraftan internet e bu vpnden bağımsız olarak çıkıyor olacak. Bu konuyu biraz daha açıklar mısınız? Bir de vpn bağladıktan sonra internet erişimin iç networkten sağlarsam pek bir açık kalmaz heralde?

Bunun için firewall konfigurasyonunda bir değişiklik yapmaya gerek var mı ve kullanmam gereken web proxy server hakkında bilgi verir misininiz?




_____


From: Serhat Erkan [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 11:47 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu



Selam Yalcin,

Risk her zaman var. Bu riski minimize etmen icin uzaktan merkezi yonetilenfirewall turu (kullanici tarafindan mudahale edilemeyen, kapatilamayan) uygulamalar kullanman faydalı. Ancak sozunu ettigin risk SPLIT tunelde daha fazla, nede olsa kullanici ciplak olarak internetde !..



Ufak bir cozum; kullanicinin dialer programini Cisco VPN Client yaparsak once Dial eder-sonra client bağlanır-daha sonrada daha güvenli internete çıkabilir..



Fakat ic networkundeki herhangi bir makineyede soz konusu olay gerceklesirse Vi Pİ EN - Mi Pi EN farketmez. Tak farkı içeri doğru yönelen hacker trafiğinide güvene almış olursun :(



Ama unutmamak gerekirki RİSK her zaman vardır, RİSKLER yokedilemez ancak ve ancak YÖNETİLEBİLİR !..



Sevgiler, saygılar :))



not: Hakan hoca, bi sakıncası yoksa soylesene neler gelecekmiş 7.0'da..



-----Original Message-----
From: Yalcin ERDEM [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 11:25 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu

Yardımlarınız için teşekkürler.

Aslında benim derdim vpn le bağlanan kullanıcılardan ziyade iç network e bir zeval gelir mi diye :-)

Bir şekilde internetten vpn kullanıcısının bilgisayarına bağlanan bir hacker iç networkumuze de girmiş olmaz mı?.. böyle bir açık sözkonusu mu?.. eğer öyle ise bu göze alınabilecek kadar zayıf bir açık mı?



Yalçın


_____


From: Hakan Tagmac (htagmac) [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 11:03 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu



Merhaba,



estaffurullah diyerek soze başlayayım. PIX 7.0da çok fazla yeni özellik gelecek. Split tunelde sakınca yokken derken de niyetim Serhatile aynı. Çünkü makinada antivirüs, hids,personal fw veya cisco securtiy agent tarzı bir program yüklü ise makina kendini koruyacaktır.



Sırf bu makinalar virüs vs etkilenmesin diye split tunel yapılmadandirek merkezden çıkarılmak isteniyorsa bu çözüm değildir. Kullanıcı vpn client'ı koparınca yine internete dolaşacak. virüsvs'den etkilenecekse yine etkilenecektir.



Hakan



-----Original Message-----
From: Serhat Erkan [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 9:54 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu

selam,

Açıkçası PIX açısından şanssız bir durum. Her ne kadarson 2 senede PIX çok yol kat etsede, sanırım burada çuvallamış.. Ayrıca SPLIT tunel yapmak merkezdeki politikaları uygulayamamak açısından hoş bir durum değil (tabii eğer proxy uygulanmazsa). Eğer Websense, web antivirus check gibi yan uygulamalar varsa kesinlikle NO SPLIT derim ..



Ama CCIE olmuş arkadaşlarımız bize "no problem" derse bizde egerbasimizi yapariz konfigurasyonu !..



Serhat

-----Original Message-----
From: Hakan Tagmac (htagmac) [mailto:[email protected]]
Sent: Tuesday, March 23, 2004 9:06 PM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu

Merhaba,



PIX outside interface'ine gelen vpn trafiği unencrypted olarak aynıinterface'den dışarı çıkamaz. Router ve vpn3000'de ise tek bir interface'den gelen trafik aynı interface'den geri gidebilir.Bu durumda yapılabilecekler;Yaptığınız gibi split tunnel konfigure etmek. Böylelikle vpn client merkeze gidiyorsa kriptolu gider. Internete çıkıyorsa kriptosuz olarak direk gideceği yere gider. Böylelikle merkezdeki bandgenişliğinide olumsuz etkilemez. Bu yolun bir sakıncası yok.Diğer yol, Örneğin DMZ'e web proxy server koymak. VPN client merkeze gelir ve proxy üstünden internet çıkar.



Hakan



-----Original Message-----
From: Yalcin ERDEM [mailto:[email protected]]
Sent: Tuesday, March 23, 2004 2:45 PM
To: [email][email protected][/email]
Subject: [cisco-ttl] vpn-internet sorunu

Merhaba;

Şirkette tanımladığım vpnle bağlanan kullanıcılar vpn e bağlandıklarında internet e erişemez hale geliyorlar.firewallda vpngroup superteam split-tunnel 80

Komutunu yazdığımda internet bağlanabilyorlar ancak şirketinçıkış ipsinden değil internete bağlanırken ispden aldıkları ip ile.

Ben vpn connected olduğu zaman internet çıkışlarını da şirket üzerinden istiyorum. Bu konuda yardım edebilir misiniz?

Konfigurasyonum:



aaa-server partnerauth protocol radius

aaa-server radius protocol radius

aaa-server partnerauth (inside) host 10.0.0.32 xxxxxx timeout 5

isakmp policy 8 encr 3des

isakmp policy 8 hash md5

isakmp policy 8 authentication pre-share

isakmp policy 8 group 2

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac

crypto dynamic-map cisco 4 set transform-set strong-des

crypto map partner-map 20 ipsec-isakmp dynamic cisco

crypto map partner-map interface outside

crypto map partner-map client authentication partnerauth

crypto map partner-map client configuration address initiate

isakmp key Pass12345 address 0.0.0.0 netmask 0.0.0.0

access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0

nat (inside) 0 access-list 80

ip local pool sirket 10.1.1.1-10.1.1.254

vpngroup superteam address-pool sirket

vpngroup superteam dns-server 10.0.0.5

vpngroup superteam wins-server 10.0.0.5

vpngroup superteam default-domain tikle.com

vpngroup superteam idle-time 1800



Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.



Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.





















____________________________________________________________________________________________________________________________
Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile olusturulmus ve gönderilmistir. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.


This e-mail has been sent by the sender under his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. accepts no responsibility.

Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.




Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.





Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.























____________________________________________________________________________________________________________________________
Bu e-mail'in tüm icerigi gönderenin kisisel tasarrufu ile olusturulmusve gönderilmistir. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. bu e-mail icerigi hakkinda sorumluluk kabul etmez.


This e-mail has been sent by the sender under his/her own individual discreation. Oyak Teknoloji Bilisim ve Kart Hizmetleri A.S. accepts no responsibility.

Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.






Bu listenin Cisco Systems ile dogrudan herhangi bir baglantisi bulunmamaktadir.

Listeden cikmak için [email][email protected][/email] adresine bir e-posta gönderebilirsiniz.



_____

Yahoo! Groups Links


* To visit your group on the web, go to:
[url]http://groups.yahoo.com/group/cisco-ttl/[/url]

* To unsubscribe from this group, send an email to:
[email][email protected][/email] <mailto:[email protected]?subject=Unsubscribe>

* Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service <http://docs.yahoo.com/info/terms/> .