1. Fórum Root.cz
  2. Hlavní témata
  3. Software
  4. Openswan nebo racoon pro IPsec
« předchozí další »
Stran: [1]

Openswan nebo racoon pro IPsec

  • 8 Odpovědí
  • 2576 Zhlédnutí

maxlink

Openswan nebo racoon pro IPsec
« kdy: 15. 10. 2014, 00:05:26 »
ahoj, co dnes pouzit na linuxu pro ipsec ma smysl jeste racoon nebo uz jen openswan? diky max.
« Poslední změna: 15. 10. 2014, 07:06:36 od Petr Krčmář »
IP zaznamenána

Reklama

  • * * * * *

zigi

Re:Openswan nebo racoon pro IPsec
« Odpověď #1 kdy: 15. 10. 2014, 08:49:54 »
Ahoj,

  zalezi taky na distribuci - v Debianu jsou balicky pro OpenSwan a StrongSwan (https://www.strongswan.org/) a v distribucich zalozenych na RHEL je zase OpenSwan a nyni i jeho fork LibreSwan (https://libreswan.org/). Osobne zatim preferuji OpenSwan/LibreSwan.
IP zaznamenána

zigi

Re:Openswan nebo racoon pro IPsec
« Odpověď #2 kdy: 15. 10. 2014, 09:21:00 »
Doplneni k predchozimu komentari:

V pripravovanem Ubuntu je ze Swan rodiny pouze uz jen StrongSwan. Racoon a ipsec-tools jsou k dispozici ve vsech uvedenych. Tedy zalezi na aktualnim vyvoji, kde dle mne nyni vede StrongSwan a LibreSwan, moznostech daneho nastroje a osobnich preferencich.
IP zaznamenána

PCnity

  • *****
  • 706
    • Zobrazit profil
    • E-mail
Re:Openswan nebo racoon pro IPsec
« Odpověď #3 kdy: 15. 10. 2014, 13:55:52 »
Osobne velmi silno odporucam LibreSwan (resp. OpenSwan) s KLIPS stackom.
KLIPS sa mi osvedcil ako neporovnatelne stabilnejsi oproti Netkey, napriek faktu ze Netkey je v jadre uz par rokov.

Zaroven ma KLIPS obrovsku vyhodu vo vytvoreni ipsec0 interface a odpada tak nutnost markovat packety. Tato drobnost velmi zprehladnuje a zjednodusuje FW.

V pripade debianu teda OpenSwan + OpenSwan Modules (DKMS), alebo LibreSwan a trochu manualnej prace.
IP zaznamenána

zigi

Re:Openswan nebo racoon pro IPsec
« Odpověď #4 kdy: 15. 10. 2014, 15:43:24 »
Ja jedu na Netkey a markovat packety zatim nemusim. Jen si v Shorewallu vytvorim zonu pro dane subnety.
IP zaznamenána

Reklama

  • * * * * *

PCnity

  • *****
  • 706
    • Zobrazit profil
    • E-mail
Re:Openswan nebo racoon pro IPsec
« Odpověď #5 kdy: 15. 10. 2014, 15:52:12 »
Nakolko IP Sec ide z pravidla z WAN siete, je riesenie postavene len na subnetoch imho uplne nedostacujuce. Staci aby zle skonfihurovane zariadenia providera konektivity umoaznovali IP spoofing.
Ratam s tym ze ked uz niekto nasadzuje IP Sec, ide mu o bezpecnost. Cize je nutne markovat ESP packety pred desifrovanim a nasledne aj ked prejdu procesom desifrovania ich na zaklade marku ktory tym nezmizne dalej spracuvat.

Netkey bol pre nas v pohode pre vsetky interne spoje. Casom sme terminovali vyse 100 s2s tunnelov s uplne diverznymi zariadeniami a zacali byt problemy s ESP SA. Proste tunel bol up/erouted, ale traffic neprechadzal. Stacilo vytvorit novu ESP SA (ISAKMP SA zostala) a tunnel zase fungoval. A to sme mali vzdy vsetky parametre (aj lifetime) fixne dohodnute. Po prechode na KLIPS zrazu vsetko fungovalo bez problemov... a z 2 - 3 alarmov denne, sme zisli na par alrmov rocne (monitoring/ping alebo TCP session).
IP zaznamenána

zigi

Re:Openswan nebo racoon pro IPsec
« Odpověď #6 kdy: 15. 10. 2014, 17:09:17 »
Citace: PCnity  15. 10. 2014, 15:52:12
Nakolko IP Sec ide z pravidla z WAN siete, je riesenie postavene len na subnetoch imho uplne nedostacujuce. Staci aby zle skonfihurovane zariadenia providera konektivity umoaznovali IP spoofing.
Ratam s tym ze ked uz niekto nasadzuje IP Sec, ide mu o bezpecnost. Cize je nutne markovat ESP packety pred desifrovanim a nasledne aj ked prejdu procesom desifrovania ich na zaklade marku ktory tym nezmizne dalej spracuvat.

Dobra pripominka. Ja to resim predrazenym firewallem, takze to by IP spoofingu melo zabranit a na cilovy IPsec koncentrator je povolena jen IPsec komunikace ze znamych peeru.

Citace: PCnity  15. 10. 2014, 15:52:12
Netkey bol pre nas v pohode pre vsetky interne spoje. Casom sme terminovali vyse 100 s2s tunnelov s uplne diverznymi zariadeniami a zacali byt problemy s ESP SA. Proste tunel bol up/erouted, ale traffic neprechadzal. Stacilo vytvorit novu ESP SA (ISAKMP SA zostala) a tunnel zase fungoval. A to sme mali vzdy vsetky parametre (aj lifetime) fixne dohodnute. Po prechode na KLIPS zrazu vsetko fungovalo bez problemov... a z 2 - 3 alarmov denne, sme zisli na par alrmov rocne (monitoring/ping alebo TCP session).

Diky za komentar a zkusenost.
IP zaznamenána

txt

Re:Openswan nebo racoon pro IPsec
« Odpověď #7 kdy: 15. 10. 2014, 19:25:13 »
Citace: PCnity  15. 10. 2014, 15:52:12
Nakolko IP Sec ide z pravidla z WAN siete, je riesenie postavene len na subnetoch imho uplne nedostacujuce. Staci aby zle skonfihurovane zariadenia providera konektivity umoaznovali IP spoofing.
Ratam s tym ze ked uz niekto nasadzuje IP Sec, ide mu o bezpecnost. Cize je nutne markovat ESP packety pred desifrovanim a nasledne aj ked prejdu procesom desifrovania ich na zaklade marku ktory tym nezmizne dalej spracuvat.
Prosím o stručné nastínění, popř. odkaz, o co jde. Pouze iptables pravidlo FORWARD pro levou a pravou síť je tedy silně nedostatečné?
IP zaznamenána

txt

Re:Openswan nebo racoon pro IPsec
« Odpověď #8 kdy: 15. 10. 2014, 19:31:48 »
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Software
  4. Openswan nebo racoon pro IPsec