информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 И ещё раз об интернет-голосовании 
 Типовые уязвимости в драйверах... 
 Logitech готовится закрыть очередную... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
PPTP 25.11.03 17:17  Число просмотров: 1665
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
попробуй субж
насколько я помню во всех версиях винды начиная с 98 есть возможность работы с этим видом ВПН-ки
<networking>
создать VPN 25.11.03 15:34  
Автор: anton_Crok Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Требуется создать VPN. Хостов будет не много, но разношерстные: win9x, NT4, W2k и может быть WinXP. Хочется обойтись программными средствами. Компьютеры находятся в разных сетях, поэтому, думается, ставить какие то софтиные на шлюзы смысла не имеет. Думаю на каждом компьютере должна стоять программа, шифрующая трафик в зависимости от адреса получателя.
Помогите плиз советом, что можно почитать на эту тему (может даже в сети…). Можно решить это стандартными средствами OS (думаю из-за Win9x нет)? Какие продукты можно использовать для этой цели. Проект больше учебный, поэтому варианты «пушкой по воробьям», только приветсвуются :).
Пока попался в руки только Cisco Secure VPN Client 1.2. Но я уже понял, что это старье жуткое, да и требует еще какое то ПО от Cisco. Что есть еще из этой серии?
создать VPN 25.11.03 18:25  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
http://www.ixbt.com/comm/vpn1.shtml
PPTP 25.11.03 17:17  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
попробуй субж
насколько я помню во всех версиях винды начиная с 98 есть возможность работы с этим видом ВПН-ки
создать VPN 25.11.03 16:29  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Виндоус2000 что-то такое умеет, по крайней мере в свЯзи через мдем я видел опции шифрования трафика и возможности доступа к приватной сети. Поподробнее, пусть специалисты по Виндоусу расскажут.
Можно просто какой-нибудь АйПиСЕК взять.
Есдинственное, что Ваши представления о свЯзи паролей и ВПН несколько туманны. Обычно нужно просто ключиками махнуться (естественно открытыми), а симметричными узлы и сами периодически будут обмениваться.
а чем конкретно? Я не понимаю как настроить это в чистой винде... 25.11.03 18:19  
Автор: anton_Crok Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> через мдем я видел опции шифрования трафика и возможности
> доступа к приватной сети. Поподробнее, пусть специалисты по
> Виндоусу расскажут.
Это есть, это я знаю. :) Но это не то что я хочу. Сформулирую по другому:
как связать 2-3 (или больше - не важно) компа в одном сегменте сети в VPN?
Хотя я уже и не уверен, что это можно назвать VPN...
Насколько я понял PPTP применимо при соединению по модему - тогда это подходит.
Так же, если я правильно понял литературу – устройство VPN ставят на шлюзе сети.
У меня это не актуально. То что я хочу, я думаю, скорее подходит по определение мобильного клиента VPN. Но и это не совсем точно моя ситуация.
Есть компьютер, работает в сети с остальными как обычно, а вот на компьютер sec_host по 80 порту, необходимо отсылать только в зашифрованном виде. Вся проблема, что такой компьютер будет один на сегмен и ставить ради него что то на шлюзе - не имеет смысла. Поэтому я и думаю о неком тонком клиенте, который будет располагаться на самой машине.


>Можно просто какой-нибудь АйПиСЕК взять.
Поподробней можно? IPSec? Я думал что это протокол… Меня же интересуют конкретные реализации. Или я тебя не так понял?


> Есдинственное, что Ваши представления о свЯзи паролей и ВПН
> несколько туманны. Обычно нужно просто ключиками махнуться
> (естественно открытыми), а симметричными узлы и сами
> периодически будут обмениваться.
Да, блин, в теории то я криптографию знаю… :) Но вот только не знаю какие продукты реализуют этот функционал.

Спасибо за ответ!
Вчера меня в очередной раз чуть не вырвало от этого Виндовса, а Вы мне опять про него. Я не понимаю почему спецы молчат - чиркнули бы пару строчек и все сразу понятно бы стало. 26.11.03 11:02  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.11.03 11:02  Количество правок: 1
<"чистая" ссылка>
> Это есть, это я знаю. :) Но это не то что я хочу.
> Сформулирую по другому:
> как связать 2-3 (или больше - не важно) компа в одном
> сегменте сети в VPN?

Теперь понятно - все писюки в одной локальной сетке. Просто обычно ВПН используется для объединения локальных сетей, имеющих выход в интернет, в одну единую сеть через публичную сеть.

> Хотя я уже и не уверен, что это можно назвать VPN...

Представим, что локалка - публичная сеть, а хосты - локалки.

> Насколько я понял PPTP применимо при соединению по
> модему - тогда это подходит.
> Так же, если я правильно понял литературу – устройство
> VPN ставят на шлюзе сети.

Это для слишком классического случая. В Вашем случае шлюз и будет Ваш писюк.

> У меня это не актуально. То что я хочу, я думаю, скорее
> подходит по определение мобильного клиента VPN. Но и это не
> совсем точно моя ситуация.
> Есть компьютер, работает в сети с остальными как обычно, а
> вот на компьютер sec_host по 80 порту, необходимо отсылать
> только в зашифрованном виде. Вся проблема, что такой
> компьютер будет один на сегмен и ставить ради него что то
> на шлюзе - не имеет смысла. Поэтому я и думаю о неком
> тонком клиенте, который будет располагаться на самой
> машине.
>
>
> >Можно просто какой-нибудь АйПиСЕК взять.
> Поподробней можно? IPSec? Я думал что это протокол… Меня же
> интересуют конкретные реализации. Или я тебя не так понял?

IPSec это и есть конкретная реализация. Наберите в Яндэксе и сходите по первой попавшейся (хотя бы на iXBT), там подробно и ссылки есть.

> Спасибо за ответ!

У нас стоит классическая схема (АйПиСек на шлюзе). Правда не под Виндовсом, а под Линуксом. Наша сеть 192.168.5.0, а шлюз проверяет, если ломлюсь на хост сети 192.168.6.0, то шифрует и через иНет на указанный хост. Если в любую другую сеть, то шлюз кидает не шифруя, куда надо.
У Вас также конфигуриться, только на локальном писюке. Стучитесь на родной адрес - напрямую без шифрации. Стучитесь на виртуальный адрес - шифруется и туда же. Стучитесь куда-то еще - на шлюз.
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 15:28  
Автор: anton_Crok Статус: Незарегистрированный пользователь
Отредактировано 26.11.03 15:30  Количество правок: 1
<"чистая" ссылка>
> Представим, что локалка - публичная сеть, а хосты -
> локалки.
Хорошо, с этим вариантом все кажись понятно. Думаю PGPnet из PGP 7.03
Меня вполне устроит, хотя надо на него еще доки почитать.
Кто ни будь знает подобные клиенты? Можно и не бесплатные.


> устройство
> > VPN ставят на шлюзе сети.
> Это для слишком классического случая. В Вашем случае шлюз и
> будет Ваш писюк.
А теперь усложним ситуацию – хосты находятся в разных частных сетях, за NATом.
То бишь ни тот не другой реальных IP не имеют. Я правильно понимаю, что ситуация не редкая? Я не специалист, но подозреваю, что клиенты на машинах уже не настроишь, придется что-то ставить на шлюзы?


> Меня же
> > интересуют конкретные реализации. Или я тебя не так
> понял?
> IPSec это и есть конкретная реализация. Наберите в Яндэксе
> и сходите по первой попавшейся (хотя бы на iXBT), там
> подробно и ссылки есть.
Да, это помогло. Спасибо. :) Правда в основном все решения железные или далеко не под Винду. Наверное и правильно…


> У нас стоит классическая схема (АйПиСек на шлюзе). Правда
> не под Виндовсом, а под Линуксом.
Чем реализовано? Мне правда больше интересен вариант для Sun’а…
Есть ли клиенты для Линухов? Или идеологически правильней настраивать это на шлюзе?

> У Вас также конфигуриться, только на локальном писюке.
> Стучитесь на родной адрес - напрямую без шифрации.
> Стучитесь на виртуальный адрес - шифруется и туда же.
> Стучитесь куда-то еще - на шлюз.
Да, но если хосты расположены в разных сетях, то имхо это уже не проходит. Ибо по условию шифрование трафика должно производится только на один компьютер сети получателя.
Итак, вопрос в том, можно ли обойтись клиентами на машинах, если компьютеры не имеют реальных IP и находятся в разных сетях.
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:06  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> А теперь усложним ситуацию – хосты находятся в разных
> частных сетях, за NATом.
> То бишь ни тот не другой реальных IP не имеют. Я правильно
> понимаю, что ситуация не редкая? Я не специалист, но
> подозреваю, что клиенты на машинах уже не настроишь,
> придется что-то ставить на шлюзы?

НАТ, естественно, должен уметь (быть обучен) разруливать на уровне портов. То есть обрашения снаружи к одним портам прокидывать на на определенные внутренние адреса (может даже и на другие порты).
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 18:00  
Автор: lunc <Alexander Krizhanovsky> Статус: Member
<"чистая" ссылка>
> > Представим, что локалка - публичная сеть, а хосты -
> > локалки.
> Кто ни будь знает подобные клиенты? Можно и не бесплатные.

Мобильные клиенты для Windows поддерживаются, например, в Тропа Джет. Но здесь пока не IPSec, а свой протокол. Посмотрите еще Застава.
Насколько я понял, здесь вообщем и идет речь о мобильных клиентах - одиночных удаленных хостах с возможностью подключения к сети. Необязательно весь трафик должен шифроваться - это зависит от политики безопасности.

> Чем реализовано? Мне правда больше интересен вариант для
> Sun’а…

Тропа Джет пашет под Solaris.

> Да, но если хосты расположены в разных сетях, то имхо это
> уже не проходит. Ибо по условию шифрование трафика должно
> производится только на один компьютер сети получателя.
> Итак, вопрос в том, можно ли обойтись клиентами на
> машинах, если компьютеры не имеют реальных IP и находятся в
> разных сетях.

Тунелирование должно быть, IPSec'овские пакеты должны заворачиваться в свою очередь в еще одни пакеты.
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 10:55  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Тунелирование должно быть, IPSec'овские пакеты должны
> заворачиваться в свою очередь в еще одни пакеты.

А я слышал, что он весь шифрованый ТиСиПиАйПи трафик по другому протоколу кидает 50 и 51 соответственно. Заворачивать уж больно сложно.
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 16:52  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
а вот тогда возникает прроблема с IPSec - AH заголовки портятся NATоми VPN-ка не работает (хотя вроде бы MS это дело исправили своим кривым NATом). прямая дорога к PPTP )))

> А теперь усложним ситуацию – хосты находятся в разных
> частных сетях, за NATом.
> То бишь ни тот не другой реальных IP не имеют. Я правильно
> понимаю, что ситуация не редкая? Я не специалист, но
> подозреваю, что клиенты на машинах уже не настроишь,
> придется что-то ставить на шлюзы?


STFW. одним сокращением.
КУЧА продуктов
MPD, racoon ... в общем много
> Чем реализовано? Мне правда больше интересен вариант для
> Sun’а…
> Есть ли клиенты для Линухов? Или идеологически правильней
> настраивать это на шлюзе?

можно просто клиентами.
> Да, но если хосты расположены в разных сетях, то имхо это
> уже не проходит. Ибо по условию шифрование трафика должно
> производится только на один компьютер сети получателя.
> Итак, вопрос в том, можно ли обойтись клиентами на
> машинах, если компьютеры не имеют реальных IP и находятся в
> разных сетях.
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:02  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.11.03 11:03  Количество правок: 1
<"чистая" ссылка>
> а вот тогда возникает прроблема с IPSec - AH заголовки
> портятся NATоми VPN-ка не работает (хотя вроде бы MS это
> дело исправили своим кривым NATом). прямая дорога к PPTP
> )))

Ага наступали на эти грабли (и не только). Поковырялись "шлюзовщики" с тем, чтобы адрес отправителя не портился. У нас тут просто два шлюза - один местный/офисныый с АйПиСеком, другой глобальный - на все местные офисы, он-то и имеет внешний айпишник. Мало того от нас пакеты уходят с одного внешнего АйПи адреса, а приходить должны на другой. А этот АйПиСек еще и адресом пользуется для шифрования.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach