A.P. Lawrence

SCO as a firewall

If this isn't exactly what you wanted, please try our Search (there's a LOT of techy and non-techy stuff here about Linux, Unix, Mac OS X and just computers in general!):

From - Thu Jun 24 06:02:58 1999
Xref: world comp.security.firewalls:27068 comp.unix.sco.misc:99444 comp.unix.sco.programmer:13825
Path: world!newsswitch.lcs.mit.edu!news-spur1.maxwell.syr.edu!news.maxwell.syr.edu!news.msfc.nasa.gov!nntp.mainstreet.net!news.mainstreet.net!feeder.swcp.com!198.59.115.31.MISMATCH!news.cyberport.com!not-for-mail
From: tangent@cyberport.com (Warren Young)
Newsgroups: comp.security.firewalls,comp.unix.sco.misc,comp.unix.sco.programmer
Subject: Re: Authorizing through a firewall
Date: Wed, 23 Jun 1999 02:32:32 GMT
Organization: ETR..., Inc.
Lines: 40 Message-ID: <377644d3.1066244437@news.cyberport.com> References: <7kmtsg$5uf@news.hsonline.net>
NNTP-Posting-Host: 56k194-118.cyberport.com
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-Trace: macaw.cyberport.com 930105157 18861 204.134.118.194 (23 Jun 1999 02:32:37 GMT)
X-Complaints-To: abuse@cyberport.com
NNTP-Posting-Date: 23 Jun 1999 02:32:37 GMT
X-Newsreader: Forte Agent 1.5/32.451
X-Mozilla-Status: 8011

Bruce Varney <varney@mail.hsonline.net> wrote:

>Our company has set up a firewall (SCO's Internet Security Package), but
>need a way to authorize outside access automatically. Two of our
>employees (it's a small company of 6) are outside of the office (in
>different timezones, actually), and need to be able to connect remotely
>through a local ISP. Neither ISP offers dedicated IP access, so we need
>some type of authorization mechanism that will open up access through
>the firewall to a specific IP after some sort of sign-on process so they
>have access to the WinNT server, telnet access to various machines
>inside the firewall, etc.

There's probably nothing exactly like you want, since it'd be too easy
to compromise.

Instead, why not install ssh and open its port up to the two ISP's
address ranges?  That limits the directions from which attacks can
come, while still providing a reasonable amount of security.

Another plan might be to set up a DMZ: Put a second small Unixish box
out as the gateway to the Internet.  (This can be a spare 486, because
the box won't need to run X or any of a number of other hungry
services.)  Open up only ssh inbound access to this box, and uninstall
virtually everything else on the box.  Then on the "real" Unix box,
allow ssh inbound access from the gateway only.  Then the employees
can log into the gateway, and then ssh in through the firewall.

Lone-Tar Backup and Disaster Recovery
for Linux and Unix

A side benefit of this architecture is that you double the firewall
protection.  Also, if you use a different OS for the gateway than your
main Unix box, you usually increase your protection even more because
it's rare for two different OSes to be vulnerable to the same exploits
at the same time.  It doubles the number of tricks that an intruder
has to know to be able to break in.

Of course, your routing configuration becomes a bit more squirrelly,
and the remote employees will have a bit more work to do to get
inside, but IMO that's an acceptable consequence of having remote
employees.

= Warren -- http://www.cyberport.com/~tangent/