форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как сделать максимально безопасно?"

Сообщение от IronRUS (ok) on 28-Ноя-07, 16:52

Ситуация такая: Есть маршрутизатор Cisco 1760 к одному порту подклучена сеть, другой смотри в инет. Пользователь из инета создаёт VPDN соединение через pptp, тем самым получая доступ ко внутренней сети. Неавторизированный юзер не может вообще ничего сделать. Никакого дополнительного оборудования нет. Обращение к знатокам: Что ещё можно сделать полезного для безопасности соединения? И что из того, что есть лишнее? Собственно, конфиг вот: version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname Router ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log logging buffered 51200 debugging logging console critical enable secret 5 $1$YCRG$K.PDMs/RkkM4lbDoeNmzX/ ! username user password 7 1543595F mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model ! ! aaa authentication login authen local aaa authorization exec author local aaa session-id common ip subnet-zero no ip source-route ip cef ! ! ip tcp synwait-time 10 ! no ip bootp server vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 ! no ftp-server write-enable ! ! ! ! interface Ethernet0/0 ip address xx.xx.xx.xx xx.xx.xx.xx no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow half-duplex ! interface FastEthernet0/0 ip address xx.xx.xx.xx xx.xx.xx.xx speed auto ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 ip mtu 1492 peer default ip address pool ip_pool ppp authentication chap ms-chap ms-chap-v2 ! ip local pool ip_pool xx.xx.xx.xx ip classless no ip http server ! access-list 101 permit tcp any any eq 1723 log-input access-list 101 permit gre any any access-list 101 deny   tcp any any no cdp run ! line con 0 login authentication authen line aux 0 login authentication authen line vty 0 4 login authentication authen ! ! end Заранее благодарен!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как сделать максимально безопасно?"

Сообщение от lejek (ok) on 28-Ноя-07, 21:04

Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over IPSec). Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В любом случае используйте username user secret вместо username user pass Не нашел, где вы используете свой acl 101 (похоже вы его забыли применить). ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, mtu 1460.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Как сделать максимально безопасно?"
	Сообщение от IronRUS (??) on 28-Ноя-07, 21:24
	>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) Не получится, доп. оборудование исключено. >В любом случае используйте username user secret вместо username user pass Попробуемс. >Не нашел, где вы используете свой acl 101 (похоже вы его забыли >применить). Не забыл, просто, когда скидывал конфиг, пришлось его вырубить, а потом дописать забыл. =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как сделать максимально безопасно?"
	Сообщение от IronRUS (ok) on 28-Ноя-07, 21:27
	ACL на Fa0/0 на in.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Как сделать максимально безопасно?"
	Сообщение от obstraction on 29-Ноя-07, 15:22
	>Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over >IPSec). >Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В >любом случае используйте username user secret вместо username user pass >Не нашел, где вы используете свой acl 101 (похоже вы его забыли >применить). >ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, >mtu 1460. не получиться. работать будет только username password
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как сделать максимально безопасно?"
	Сообщение от www.bc.ru Дмитрий Перов on 29-Ноя-07, 16:45
	>>Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over >>IPSec). >>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В >>любом случае используйте username user secret вместо username user pass >>Не нашел, где вы используете свой acl 101 (похоже вы его забыли >>применить). >>ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, >>mtu 1460. > >не получиться. работать будет только username password Используйте аутентификацию по токенам )
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Как сделать максимально безопасно?"
	Сообщение от IronRUS (ok) on 30-Ноя-07, 10:33
	>Используйте аутентификацию по токенам ) Дмитрий, сказал же, доп. оборудование исключено. =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]