Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Symantec Firewall/VPN

3 views
Skip to first unread message

Phillip Schuberth

unread,
Apr 15, 2002, 11:41:33 AM4/15/02
to
Hallo Newsgroup,
wir wollen einen Symantec Firewall/VPN als Internet-Router für unser kleines
Netz einsetzen und die VPN Eigenschaften nutzen, um zwei externe Rechner
einen Zugang zu unserem Netz zu ermöglichen. Geplant ist, daß ein Externer
über seine eigene Internetverbindung eine getunnelte VPN Verbinung zu
unserem Symantec Firewall/VPN Router aufbaut und so an unseren Mailserver
und Fileserver kommt.
Ist dies für einen externen Rechner möglich ohne zusätzl. Software? Der
Symantec Support hat bereits 30DM Wartemusik (in drei verscheidenen Anrufen)
gekostet - DIE KENNEN IHRE EIGENEN PRODUKTE NICHT!!!!
Über Hinweise und Tipps würde ich mich freuen. Falls ich hier "falsch" bin,
würde ich mich über einen NG-Tipp ebenfalls freuen.
Danke im voraus & freundliche Grüße, Phillip


Jens Grivolla

unread,
Apr 15, 2002, 12:22:50 PM4/15/02
to
"Phillip Schuberth" <ph.sc...@gmx.com> writes:

> Ist dies für einen externen Rechner möglich ohne zusätzl. Software? Der
> Symantec Support hat bereits 30DM Wartemusik (in drei verscheidenen Anrufen)
> gekostet - DIE KENNEN IHRE EIGENEN PRODUKTE NICHT!!!!

Und dann wollt ihr den Kram trotzdem einsetzen?

Naja, solange ihr anderen damit nicht schadet...

Ciao,
Jens

R.S.

unread,
Apr 15, 2002, 12:41:56 PM4/15/02
to

Schau mal bei Linksys oder Nexland, die haben ganz brauchbare VPN over
IPSEC-Router als Hardware-Geräte. Kostenpunkt ca. 350-400 Euro, dafür
wesentlich ausfallsicherer als ein PC.
Ja ein VPN-fähiger Client wie z.B. W2k sollte die Verbindung
hinbekommen.

Gruss
Roland

Felix von Leitner

unread,
Apr 15, 2002, 12:07:53 PM4/15/02
to
Thus spake R. S. (colaf...@gmx.de):

> Schau mal bei Linksys oder Nexland, die haben ganz brauchbare VPN over
> IPSEC-Router als Hardware-Geräte. Kostenpunkt ca. 350-400 Euro, dafür
> wesentlich ausfallsicherer als ein PC.

ROTFL

> Ja ein VPN-fähiger Client wie z.B. W2k sollte die Verbindung
> hinbekommen.

Was nützt dir ein ausfallsicherer Router, wenn du auf deinen Clients
dann solchen Müll einsetzt?

Lutz Donnerhacke

unread,
Apr 16, 2002, 6:03:41 AM4/16/02
to
* Phillip Schuberth wrote:
>wir wollen einen Symantec Firewall/VPN als Internet-Router für unser kleines
>Netz einsetzen und die VPN Eigenschaften nutzen, um zwei externe Rechner
>einen Zugang zu unserem Netz zu ermöglichen.

Das bedarf der 200R. Diese habe ich letzte Woche getestet.

>Ist dies für einen externen Rechner möglich ohne zusätzl. Software?

Nein. Es bedarf eines IPSec Clients.

>Der Symantec Support hat bereits 30DM Wartemusik (in drei verscheidenen
>Anrufen) gekostet - DIE KENNEN IHRE EIGENEN PRODUKTE NICHT!!!!

Dann gibt das Produkt zurück, weil es nicht funktioniert, bzw. der
Hersteller nicht weiß, wie es zum funktionieren gebracht werden kann.

>Über Hinweise und Tipps würde ich mich freuen.

Die 200R zeigte ein interessantes Verhalten:
- Sie ist nur über ein Webinterface konfigurierbar. Die Webseiten kommen aber
mit falschen HTTP Headern, was Caching/Aging betrifft. Sie kann kein HTTPS.
- Für jedes Paket, daß sie an einem Interface sieht, schickt sie ARP-Requests
für die ihr unbekannten IPs raus. Bekommt sie nicht schnell genug Antwort,
so sendet sie in die zufällig gehörte Verbindung ICMP-TTL exceeded oder
TCP RST. (Vorzugsweise bemerkt sie Windows WinS Broadcasts ...)
- Hängt sie mit beiden Beinen in der gleichen Broadcastdomain, so genügt ein
ARP Request für eine unbekannte IP, daß sie mit ARP Requests das Netz zum
Stillstand bringt, weil sie sich selbst hört.
- Hängt sie mit beiden Beinen in der gleichen Collisiondomain, so schießt
sie binnen kürzester Zeit das Netz ab, da sie nur full duplex kann.
- Jeder Broadcastframe mit einem sinnvollen Protokoll drin führt zu einem
Logfileeintrag "Portscan Attack!".
- Baut sie einen VPN Tunnel zu einem Cisco Router auf, so bemerkt das IOS
ca. 10% fehlerhaft verpackte IPSec Pakete, die die Kommunikation nachhaltig
bremsen.
- Die IKE Algorithmen für IPSec sind nicht konfigurierbar.
- Zertifikate für IKE kennt sie nicht. Damit teilen sich alle Nutzer ein
Passwort, dessen Kenntnis ausreicht, ins lokale Netz zu kommen. So wie ich
IKE verstanden habe, ist das Passwort aber nicht erschnüffelbar und auch
nicht Replay-Angriffen aussetzbar.
- User-Mode und User-Authentifizierung für Remote Nutzer kennt sie nicht.
Damit ist es nicht möglich, IP-Pools für Nutzer zu verwenden.
- Externe Nutzerverwaltung kennt sie nicht. Alle Nutezr müssen auf der Kiste
konfiguriert werden.

Mehr?

0 new messages