Fórum Root.cz
Hlavní témata => Software => Téma založeno: maxlink 15. 10. 2014, 00:05:26
-
ahoj, co dnes pouzit na linuxu pro ipsec ma smysl jeste racoon nebo uz jen openswan? diky max.
-
Ahoj,
zalezi taky na distribuci - v Debianu jsou balicky pro OpenSwan a StrongSwan (https://www.strongswan.org/) a v distribucich zalozenych na RHEL je zase OpenSwan a nyni i jeho fork LibreSwan (https://libreswan.org/). Osobne zatim preferuji OpenSwan/LibreSwan.
-
Doplneni k predchozimu komentari:
V pripravovanem Ubuntu je ze Swan rodiny pouze uz jen StrongSwan. Racoon a ipsec-tools jsou k dispozici ve vsech uvedenych. Tedy zalezi na aktualnim vyvoji, kde dle mne nyni vede StrongSwan a LibreSwan, moznostech daneho nastroje a osobnich preferencich.
-
Osobne velmi silno odporucam LibreSwan (resp. OpenSwan) s KLIPS stackom.
KLIPS sa mi osvedcil ako neporovnatelne stabilnejsi oproti Netkey, napriek faktu ze Netkey je v jadre uz par rokov.
Zaroven ma KLIPS obrovsku vyhodu vo vytvoreni ipsec0 interface a odpada tak nutnost markovat packety. Tato drobnost velmi zprehladnuje a zjednodusuje FW.
V pripade debianu teda OpenSwan + OpenSwan Modules (DKMS), alebo LibreSwan a trochu manualnej prace.
-
Ja jedu na Netkey a markovat packety zatim nemusim. Jen si v Shorewallu vytvorim zonu pro dane subnety.
-
Nakolko IP Sec ide z pravidla z WAN siete, je riesenie postavene len na subnetoch imho uplne nedostacujuce. Staci aby zle skonfihurovane zariadenia providera konektivity umoaznovali IP spoofing.
Ratam s tym ze ked uz niekto nasadzuje IP Sec, ide mu o bezpecnost. Cize je nutne markovat ESP packety pred desifrovanim a nasledne aj ked prejdu procesom desifrovania ich na zaklade marku ktory tym nezmizne dalej spracuvat.
Netkey bol pre nas v pohode pre vsetky interne spoje. Casom sme terminovali vyse 100 s2s tunnelov s uplne diverznymi zariadeniami a zacali byt problemy s ESP SA. Proste tunel bol up/erouted, ale traffic neprechadzal. Stacilo vytvorit novu ESP SA (ISAKMP SA zostala) a tunnel zase fungoval. A to sme mali vzdy vsetky parametre (aj lifetime) fixne dohodnute. Po prechode na KLIPS zrazu vsetko fungovalo bez problemov... a z 2 - 3 alarmov denne, sme zisli na par alrmov rocne (monitoring/ping alebo TCP session).
-
Nakolko IP Sec ide z pravidla z WAN siete, je riesenie postavene len na subnetoch imho uplne nedostacujuce. Staci aby zle skonfihurovane zariadenia providera konektivity umoaznovali IP spoofing.
Ratam s tym ze ked uz niekto nasadzuje IP Sec, ide mu o bezpecnost. Cize je nutne markovat ESP packety pred desifrovanim a nasledne aj ked prejdu procesom desifrovania ich na zaklade marku ktory tym nezmizne dalej spracuvat.
Dobra pripominka. Ja to resim predrazenym firewallem, takze to by IP spoofingu melo zabranit a na cilovy IPsec koncentrator je povolena jen IPsec komunikace ze znamych peeru.
Netkey bol pre nas v pohode pre vsetky interne spoje. Casom sme terminovali vyse 100 s2s tunnelov s uplne diverznymi zariadeniami a zacali byt problemy s ESP SA. Proste tunel bol up/erouted, ale traffic neprechadzal. Stacilo vytvorit novu ESP SA (ISAKMP SA zostala) a tunnel zase fungoval. A to sme mali vzdy vsetky parametre (aj lifetime) fixne dohodnute. Po prechode na KLIPS zrazu vsetko fungovalo bez problemov... a z 2 - 3 alarmov denne, sme zisli na par alrmov rocne (monitoring/ping alebo TCP session).
Diky za komentar a zkusenost.
-
Nakolko IP Sec ide z pravidla z WAN siete, je riesenie postavene len na subnetoch imho uplne nedostacujuce. Staci aby zle skonfihurovane zariadenia providera konektivity umoaznovali IP spoofing.
Ratam s tym ze ked uz niekto nasadzuje IP Sec, ide mu o bezpecnost. Cize je nutne markovat ESP packety pred desifrovanim a nasledne aj ked prejdu procesom desifrovania ich na zaklade marku ktory tym nezmizne dalej spracuvat.
Prosím o stručné nastínění, popř. odkaz, o co jde. Pouze iptables pravidlo FORWARD pro levou a pravou síť je tedy silně nedostatečné?
-
Asi hloupá otázka. Tady se něco píše.
http://serverfault.com/questions/463440/with-iptables-match-packets-arrived-via-ipsec-tunnel
http://serverfault.com/questions/389437/netfilter-how-to-mark-packet-by-reqid?rq=1
Jaké jsou ještě začátečnické chyby při implementaci?