Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 1606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Why 3 Interfaces is NOT enough for the smallest business.

Bob M
I am working on my lastest column for Network Computing Magazine.  It will be a firewall rant.

In my NOT so humble Opinion, the minimum network configuration is:

One outward facing Interface.

Three inward facing Interfaces:

Externally accessable servers
Internal servers and workstations
Wireless workstations

Three USE to be enough, but with the high prevelence of 802.11, we need a 4th.  Oh, and I am on the 802.11i Task Group and know all too well what is happening there.

802.11 MUST be on its own network for at least the next year, and prefereably always.


This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to AaronWolfe
    Presumably because wireless networking at the moment is very very vulnerable to infiltration and hacking.  

    By it's design it's easy to break into ... It takes less than 3 seconds to be surfing on someone else's bandwidth from the moment of initial discovery in many cases.  Just drive around an apartment complex with your wireless laptop in the car and netstumbler and have a peek.

    By having your wireless access points on another interface, you can further isolate this traffic and hopefully keep them from getting to your servers as easily.

    Greg
Children
  • 0 in reply to Greg Combs
    I fully agree on giving the wireless network a dedicated network.
    Have all wireless user's VPN into the machine to gain access to the rest of the network.
    Everyone can highjack a WiFi network these day's even with WEP turned on.
  • 0 in reply to tgall
    remember also classic ARP poisons.  If your wireless is on the same network as a wired device, it is subject to ARP poison attacks.

    Even after we fix 802.11's security, I will STILL be able to do ARP poison attacks, given time to guess addresses.

    There is general agreement by those of us in the security field (and for you in the EU, check with Niels Furgenson who is part of our design time) to isolate wireless.

    Some are content to just put the wireless outside the firewall, but then you can have resource theft.  I have heard of people pulling into parking lots in Boston to jack into OC3 internet links.

    So again, you need one public facing, one for externally accessable servers, one for internal devices,other than wireless, and one for wireless.
  • 0 in reply to Bob M
    are we still talking about smallest business? just wondering...
  • 0 in reply to squeeze
    Yes.

    Granted not ALL small businesses will have their own external servers, but many will.

    Your web server MIGHT be at some central site that you trust (heh), or you run your own.  Perhaps an E2E server.  Anyway, a small boxen is today under $1k, if not half that.

    All too many small businesses are puting up 802.11 because it is cheap!  But done right it is a little more expensive.

    Yes, I am talking about a business of a handful or two of employees up to one of half a hundred.