информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsПортрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
создать VPN 25.11.03 15:34  
Автор: anton_Crok Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Требуется создать VPN. Хостов будет не много, но разношерстные: win9x, NT4, W2k и может быть WinXP. Хочется обойтись программными средствами. Компьютеры находятся в разных сетях, поэтому, думается, ставить какие то софтиные на шлюзы смысла не имеет. Думаю на каждом компьютере должна стоять программа, шифрующая трафик в зависимости от адреса получателя.
Помогите плиз советом, что можно почитать на эту тему (может даже в сети…). Можно решить это стандартными средствами OS (думаю из-за Win9x нет)? Какие продукты можно использовать для этой цели. Проект больше учебный, поэтому варианты «пушкой по воробьям», только приветсвуются :).
Пока попался в руки только Cisco Secure VPN Client 1.2. Но я уже понял, что это старье жуткое, да и требует еще какое то ПО от Cisco. Что есть еще из этой серии?
создать VPN 25.11.03 18:25  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
http://www.ixbt.com/comm/vpn1.shtml
PPTP 25.11.03 17:17  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
попробуй субж
насколько я помню во всех версиях винды начиная с 98 есть возможность работы с этим видом ВПН-ки
создать VPN 25.11.03 16:29  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Виндоус2000 что-то такое умеет, по крайней мере в свЯзи через мдем я видел опции шифрования трафика и возможности доступа к приватной сети. Поподробнее, пусть специалисты по Виндоусу расскажут.
Можно просто какой-нибудь АйПиСЕК взять.
Есдинственное, что Ваши представления о свЯзи паролей и ВПН несколько туманны. Обычно нужно просто ключиками махнуться (естественно открытыми), а симметричными узлы и сами периодически будут обмениваться.
а чем конкретно? Я не понимаю как настроить это в чистой винде... 25.11.03 18:19  
Автор: anton_Crok Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> через мдем я видел опции шифрования трафика и возможности
> доступа к приватной сети. Поподробнее, пусть специалисты по
> Виндоусу расскажут.
Это есть, это я знаю. :) Но это не то что я хочу. Сформулирую по другому:
как связать 2-3 (или больше - не важно) компа в одном сегменте сети в VPN?
Хотя я уже и не уверен, что это можно назвать VPN...
Насколько я понял PPTP применимо при соединению по модему - тогда это подходит.
Так же, если я правильно понял литературу – устройство VPN ставят на шлюзе сети.
У меня это не актуально. То что я хочу, я думаю, скорее подходит по определение мобильного клиента VPN. Но и это не совсем точно моя ситуация.
Есть компьютер, работает в сети с остальными как обычно, а вот на компьютер sec_host по 80 порту, необходимо отсылать только в зашифрованном виде. Вся проблема, что такой компьютер будет один на сегмен и ставить ради него что то на шлюзе - не имеет смысла. Поэтому я и думаю о неком тонком клиенте, который будет располагаться на самой машине.


>Можно просто какой-нибудь АйПиСЕК взять.
Поподробней можно? IPSec? Я думал что это протокол… Меня же интересуют конкретные реализации. Или я тебя не так понял?


> Есдинственное, что Ваши представления о свЯзи паролей и ВПН
> несколько туманны. Обычно нужно просто ключиками махнуться
> (естественно открытыми), а симметричными узлы и сами
> периодически будут обмениваться.
Да, блин, в теории то я криптографию знаю… :) Но вот только не знаю какие продукты реализуют этот функционал.

Спасибо за ответ!
Вчера меня в очередной раз чуть не вырвало от этого Виндовса, а Вы мне опять про него. Я не понимаю почему спецы молчат - чиркнули бы пару строчек и все сразу понятно бы стало. 26.11.03 11:02  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.11.03 11:02  Количество правок: 1
<"чистая" ссылка>
> Это есть, это я знаю. :) Но это не то что я хочу.
> Сформулирую по другому:
> как связать 2-3 (или больше - не важно) компа в одном
> сегменте сети в VPN?

Теперь понятно - все писюки в одной локальной сетке. Просто обычно ВПН используется для объединения локальных сетей, имеющих выход в интернет, в одну единую сеть через публичную сеть.

> Хотя я уже и не уверен, что это можно назвать VPN...

Представим, что локалка - публичная сеть, а хосты - локалки.

> Насколько я понял PPTP применимо при соединению по
> модему - тогда это подходит.
> Так же, если я правильно понял литературу – устройство
> VPN ставят на шлюзе сети.

Это для слишком классического случая. В Вашем случае шлюз и будет Ваш писюк.

> У меня это не актуально. То что я хочу, я думаю, скорее
> подходит по определение мобильного клиента VPN. Но и это не
> совсем точно моя ситуация.
> Есть компьютер, работает в сети с остальными как обычно, а
> вот на компьютер sec_host по 80 порту, необходимо отсылать
> только в зашифрованном виде. Вся проблема, что такой
> компьютер будет один на сегмен и ставить ради него что то
> на шлюзе - не имеет смысла. Поэтому я и думаю о неком
> тонком клиенте, который будет располагаться на самой
> машине.
>
>
> >Можно просто какой-нибудь АйПиСЕК взять.
> Поподробней можно? IPSec? Я думал что это протокол… Меня же
> интересуют конкретные реализации. Или я тебя не так понял?

IPSec это и есть конкретная реализация. Наберите в Яндэксе и сходите по первой попавшейся (хотя бы на iXBT), там подробно и ссылки есть.

> Спасибо за ответ!

У нас стоит классическая схема (АйПиСек на шлюзе). Правда не под Виндовсом, а под Линуксом. Наша сеть 192.168.5.0, а шлюз проверяет, если ломлюсь на хост сети 192.168.6.0, то шифрует и через иНет на указанный хост. Если в любую другую сеть, то шлюз кидает не шифруя, куда надо.
У Вас также конфигуриться, только на локальном писюке. Стучитесь на родной адрес - напрямую без шифрации. Стучитесь на виртуальный адрес - шифруется и туда же. Стучитесь куда-то еще - на шлюз.
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 15:28  
Автор: anton_Crok Статус: Незарегистрированный пользователь
Отредактировано 26.11.03 15:30  Количество правок: 1
<"чистая" ссылка>
> Представим, что локалка - публичная сеть, а хосты -
> локалки.
Хорошо, с этим вариантом все кажись понятно. Думаю PGPnet из PGP 7.03
Меня вполне устроит, хотя надо на него еще доки почитать.
Кто ни будь знает подобные клиенты? Можно и не бесплатные.


> устройство
> > VPN ставят на шлюзе сети.
> Это для слишком классического случая. В Вашем случае шлюз и
> будет Ваш писюк.
А теперь усложним ситуацию – хосты находятся в разных частных сетях, за NATом.
То бишь ни тот не другой реальных IP не имеют. Я правильно понимаю, что ситуация не редкая? Я не специалист, но подозреваю, что клиенты на машинах уже не настроишь, придется что-то ставить на шлюзы?


> Меня же
> > интересуют конкретные реализации. Или я тебя не так
> понял?
> IPSec это и есть конкретная реализация. Наберите в Яндэксе
> и сходите по первой попавшейся (хотя бы на iXBT), там
> подробно и ссылки есть.
Да, это помогло. Спасибо. :) Правда в основном все решения железные или далеко не под Винду. Наверное и правильно…


> У нас стоит классическая схема (АйПиСек на шлюзе). Правда
> не под Виндовсом, а под Линуксом.
Чем реализовано? Мне правда больше интересен вариант для Sun’а…
Есть ли клиенты для Линухов? Или идеологически правильней настраивать это на шлюзе?

> У Вас также конфигуриться, только на локальном писюке.
> Стучитесь на родной адрес - напрямую без шифрации.
> Стучитесь на виртуальный адрес - шифруется и туда же.
> Стучитесь куда-то еще - на шлюз.
Да, но если хосты расположены в разных сетях, то имхо это уже не проходит. Ибо по условию шифрование трафика должно производится только на один компьютер сети получателя.
Итак, вопрос в том, можно ли обойтись клиентами на машинах, если компьютеры не имеют реальных IP и находятся в разных сетях.
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:06  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> А теперь усложним ситуацию – хосты находятся в разных
> частных сетях, за NATом.
> То бишь ни тот не другой реальных IP не имеют. Я правильно
> понимаю, что ситуация не редкая? Я не специалист, но
> подозреваю, что клиенты на машинах уже не настроишь,
> придется что-то ставить на шлюзы?

НАТ, естественно, должен уметь (быть обучен) разруливать на уровне портов. То есть обрашения снаружи к одним портам прокидывать на на определенные внутренние адреса (может даже и на другие порты).
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 18:00  
Автор: lunc <Alexander Krizhanovsky> Статус: Member
<"чистая" ссылка>
> > Представим, что локалка - публичная сеть, а хосты -
> > локалки.
> Кто ни будь знает подобные клиенты? Можно и не бесплатные.

Мобильные клиенты для Windows поддерживаются, например, в Тропа Джет. Но здесь пока не IPSec, а свой протокол. Посмотрите еще Застава.
Насколько я понял, здесь вообщем и идет речь о мобильных клиентах - одиночных удаленных хостах с возможностью подключения к сети. Необязательно весь трафик должен шифроваться - это зависит от политики безопасности.

> Чем реализовано? Мне правда больше интересен вариант для
> Sun’а…

Тропа Джет пашет под Solaris.

> Да, но если хосты расположены в разных сетях, то имхо это
> уже не проходит. Ибо по условию шифрование трафика должно
> производится только на один компьютер сети получателя.
> Итак, вопрос в том, можно ли обойтись клиентами на
> машинах, если компьютеры не имеют реальных IP и находятся в
> разных сетях.

Тунелирование должно быть, IPSec'овские пакеты должны заворачиваться в свою очередь в еще одни пакеты.
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 10:55  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Тунелирование должно быть, IPSec'овские пакеты должны
> заворачиваться в свою очередь в еще одни пакеты.

А я слышал, что он весь шифрованый ТиСиПиАйПи трафик по другому протоколу кидает 50 и 51 соответственно. Заворачивать уж больно сложно.
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 16:52  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
а вот тогда возникает прроблема с IPSec - AH заголовки портятся NATоми VPN-ка не работает (хотя вроде бы MS это дело исправили своим кривым NATом). прямая дорога к PPTP )))

> А теперь усложним ситуацию – хосты находятся в разных
> частных сетях, за NATом.
> То бишь ни тот не другой реальных IP не имеют. Я правильно
> понимаю, что ситуация не редкая? Я не специалист, но
> подозреваю, что клиенты на машинах уже не настроишь,
> придется что-то ставить на шлюзы?


STFW. одним сокращением.
КУЧА продуктов
MPD, racoon ... в общем много
> Чем реализовано? Мне правда больше интересен вариант для
> Sun’а…
> Есть ли клиенты для Линухов? Или идеологически правильней
> настраивать это на шлюзе?

можно просто клиентами.
> Да, но если хосты расположены в разных сетях, то имхо это
> уже не проходит. Ибо по условию шифрование трафика должно
> производится только на один компьютер сети получателя.
> Итак, вопрос в том, можно ли обойтись клиентами на
> машинах, если компьютеры не имеют реальных IP и находятся в
> разных сетях.
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:02  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.11.03 11:03  Количество правок: 1
<"чистая" ссылка>
> а вот тогда возникает прроблема с IPSec - AH заголовки
> портятся NATоми VPN-ка не работает (хотя вроде бы MS это
> дело исправили своим кривым NATом). прямая дорога к PPTP
> )))

Ага наступали на эти грабли (и не только). Поковырялись "шлюзовщики" с тем, чтобы адрес отправителя не портился. У нас тут просто два шлюза - один местный/офисныый с АйПиСеком, другой глобальный - на все местные офисы, он-то и имеет внешний айпишник. Мало того от нас пакеты уходят с одного внешнего АйПи адреса, а приходить должны на другой. А этот АйПиСек еще и адресом пользуется для шифрования.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach