Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline res  
#11 Оставлено : 3 апреля 2015 г. 15:00:43(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Может быть и такое.
Всегда проверяю после настройки на шлюзе в головном офисе с помощью tcpdump, чтоб ничего кроме трафика ipsec на внешнем интерфейсе не было.
Offline res  
#12 Оставлено : 4 апреля 2015 г. 21:33:33(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Прокоментируй, плз., еще фразу из Руководства:
п.10.2 "IPSec в туннельном режиме менее защищен"
Почему он менее защищен, чем l2tp/ipsec? Когда ipsec в связке l2tp/ipsec как раз и занимается обеспечением конфиденциальности и целостности пакетов.
Возможно имеется ввиду, что нет аутентификации пользователя?

И на счет "IPSec в туннельном режиме может уменьшить эффективную пропускную способность VPN-туннеля" то же не согласен. Т.к. в случае с l2tp/ipsec все заголовки l2tp идут внутри пакета ipsec, поэтому оверхед этой связки выше, чем одного ipsec.
Offline Дмитрий Пичулин  
#13 Оставлено : 6 апреля 2015 г. 11:57:31(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: res Перейти к цитате
Почему он менее защищен, чем l2tp/ipsec? Когда ipsec в связке l2tp/ipsec как раз и занимается обеспечением конфиденциальности и целостности пакетов.
Возможно имеется ввиду, что нет аутентификации пользователя?

И на счет "IPSec в туннельном режиме может уменьшить эффективную пропускную способность VPN-туннеля" то же не согласен. Т.к. в случае с l2tp/ipsec все заголовки l2tp идут внутри пакета ipsec, поэтому оверхед этой связки выше, чем одного ipsec.


Все верно, нет аутентификации пользователя, при настройке, например PSK, при компрометации одного шлюза - будет скомпрометирована вся сеть. В этом случае, на период обновления PSK, сеть будет недоступна полностью или частично, пока не обновятся ключи PSK на всех машинах. В случае L2TP, есть механизм отключения шлюза по пользователю, с дальнейшей плановой заменой PSK, без отказа в обслуживании всей сети.

Оверхед оверхеду рознь, здесь скорее всего просто констатируется факт появления этого оверхеда. В случае L2TP/IPsec против IPsec в туннельном режиме, да, первый проигрывает по размеру оверхеда, но содержит в себе многие преимущества встроенных механизмов протокола PPP: обнаружение колец, ошибок, разрывов, многоканальности и т.д.

Знания в базе знаний, поддержка в техподдержке
Offline res  
#14 Оставлено : 6 апреля 2015 г. 13:56:39(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Спасибо за ответ!
Offline kitsb0  
#15 Оставлено : 1 ноября 2017 г. 11:46:17(UTC)
kitsb0

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.03.2017(UTC)
Сообщений: 2
Российская Федерация

Коллеги, добрый день!
Отчасти оффтоп, но на новую тему не тянет.

Прошу подсказать, как бороться с непредсказуемостью срока действия PSK:
используем vpn до RRAS'a по PSK средствами КриптоПро CSP 3.6 + ipsec1.1
При генерации пары задаётся срок действия -m 6 (6 мес.), но PSK истекает всегда не по графику.
Для примера: PSK сгенерирован 01.07.2017, должен закончится 01.01.2018.
30.10.2017 был выполнен chkpsk, который показал, что ключ истекает 01.10.2017, т.е. не должен работать уже как месяц. В итоге истёк 01.11.2017. Живёт своей жизнью.

Как генерим: genpsk.exe -D RRAS -n 01.11.2017 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient

Это особенность сборки или дело в нас?
Offline Дмитрий Пичулин  
#16 Оставлено : 1 ноября 2017 г. 12:04:59(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: kitsb0 Перейти к цитате
Это особенность сборки или дело в нас?

Это особенности PSK, чтобы было мучительно больно им пользоваться и переходить уже на сертификаты.

На самом деле, конечно это ошибки в коде и плохое проектирование PSK. Мы рассчитали, что этот метод аутентификации будет востребован мало и временно, поэтому не уделили ему должного внимания. Сейчас же что-либо исправить уже тяжело. Поэтому можем рекомендовать рассчитывать смену PSK заранее и, по возможности, переходить на аутентификацию по сертификатам.
Знания в базе знаний, поддержка в техподдержке
Offline kitsb0  
#17 Оставлено : 1 ноября 2017 г. 12:55:18(UTC)
kitsb0

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.03.2017(UTC)
Сообщений: 2
Российская Федерация

Автор: pd Перейти к цитате
Это особенности PSK, чтобы было мучительно больно им пользоваться и переходить уже на сертификаты.


Собственно я так коллегам и обозначил, что это сознательный вау-эффект для раскраски серых будней :)
Спасибо!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.