[M-a-x-Z]

1 минуту назад, DRiVen сказал:

Какое тут исследование, вы вообще на используемые "лидерами рынка" на доступе протоколы давно смотрели? Откуда дрова насчет "больше половины"? Все, кто когда-то сидел на L2TP, давно переехали на РРРоЕ (а насчет PPTP вообще не слышал,чтобы кто-то из крупняка на нем доступ делал). Возможно где-то на небольших сегментах осталось, но это исключение.

Ну PPTP - да, давно-давно не видел. А L2TP - акадо, Beeline (запчасти Golden). Это за последние два месяца, что видел. ИМХО, на объективность не претендую.

 

 

5 минут назад, dr Tr0jan сказал:

Я не спроста спросил, в чём смысл этого явления? По определению VPN - это private network, а не public service (как HTTPS), т.е. валидность клиента проверяется по определению.

Какую цель вы преследуете? Если действительно VPN, то можете использовать SSL VPN (фактически шифрованный туннель, "как HTTPS"). Если вы провайдер интернета, то для вас существует PPPoE, и никакая это не дичь. Сомневаюсь, что вам нужен 802.1x (ибо авторизировать, в вашем случае, клиента всё же необходимо).

Во-первых PPPoE требует смены маршрутизирующего железа (тут я не большой спец и могу ошибаться, поправьте если не так) - если группа зданий терминировалась на какой-нибудь 3750, то 802.1х (с оговорками) и L2TP, PPTP работать будет, а PPPoE без смены железа - нет.

Во-вторых 802.1х работает как в режиме авторизации машины, так и в режиме авторизации клиента. Поэтому, повторюсь, он вообще всем хорош в теории. только вот с практикой реализации там страх и ужас. А работаем мы в реальном мире.

Но это только ради холливара. Просто к слову))

 

На самом деле, у меня другая задача - именно аутентификация удалённых клиентов, а не внутренних (провайдеров я приплёл случайно, риторически). Только не site-to-site, а простых удалённых терминалов.

SSL VPN - на AnyConnect намекаете? Других клиентов не знаю.

Насчёт "private network vs public service" - это вопрос интересный и двоякий. Уровень доверия клиентам "средненький" и их несколько сотен. Это не 2-3 админа, у которых широкие права и которые могут досконально настроить терминал для безопасного доступа.

Т.е. хотелось бы это предоставлять именно как сервис. Но не совсем public. Например вы же в интернет-банк по HTTPS ходите? HTTPS канал вам зашифровал не особо интересуясь вашей личностью и вашим ПК (это только вы убедились в валидности сервера). Т.е. сервис публичный. А уже пароль к личному кабинету пойдёт в шифрованном тоннеле и только тогда банк вас идентифицирует как конкретного клиента.

 

10 минут назад, ShyLion сказал:

И правда.

 

 

Почему HTTPS? Просто SSL/TLS. Просто номер порта выбран 443, чтобы через фаерволы проще вылазить (меньше галочек для недо-админов).

Только вот циска лицензию не купила.

Судя по картинке здесь:

https://habrahabr.ru/post/196134/

Там ещё HTTPS заголовок между SSL и PPP забацали.

Но источник не особо авторитетный, тем более "из песочницы". Более серьёзных доков не смотрел.

[DRiVen]

32 минуты назад, M-a-x-Z сказал:

Beeline

Да, действительно, до сих пор L2TP, был неправ.

[dr Tr0jan]

2 hours ago, M-a-x-Z said:

если группа зданий терминировалась на какой-нибудь 3750, то 802.1х (с оговорками) и L2TP, PPTP работать будет

Я не провайдер (скорее большое предприятие), но впервые слышу, что на каталистах можно терминировать L2TP и PPTP.

 

3 hours ago, M-a-x-Z said:

Во-вторых 802.1х работает как в режиме авторизации машины, так и в режиме авторизации клиента

Не путайте клиента (тот, кто вам деньги платит или получает услугу) и пользователя (user). В VPN всегда проверяется валидность клиента (аутентификация), а уж, кто является клиентом - пользователь, машина или сеть - это вопрос из совершенно другой оперы.

 

3 hours ago, M-a-x-Z said:

Поэтому, повторюсь, он вообще всем хорош в теории. только вот с практикой реализации там страх и ужас. А работаем мы в реальном мире.

У меня работает вообще прекрасно.

 

3 hours ago, M-a-x-Z said:

SSL VPN - на AnyConnect намекаете?

Да, конечно. В чём проблема?

[Ivan_83]

4 часа назад, M-a-x-Z сказал:

Ввиду отсутствия в нём минимального шифрования (хотя бы обеспечивающего защиту от дурака: не каждый сосед сходу вскроет MSCHAPv2 и mppe128. Да и внутри всё-равно будет HTTPS) теперь к нему надо прикручивать IPsec.

Весь CHAP уже давно взломали, всё.

 

4 часа назад, M-a-x-Z сказал:

Есть, конечно SSTP - но у него что-то грустно с поддержкой клиентами и пихать весь трафик мало того, что в TCP, да ещё и в HTTPS как-то избыточно.

Это замена опенвпн, типа своё из каробки.

 

4 часа назад, M-a-x-Z сказал:

я, конечно, маркетингового исследования не проводил, но, по ощущениям, этих "недопровайдеров" существенно больше половины... Особенно среди "лидеров рынка".

У тебя на календаре 2008 год?)

Или это лидеры рынка деревни гадюкино?)

Лично участвовал в переходе одного не оч большого провайдера с пптп на ипое, год был 2012-3.

 

4 часа назад, M-a-x-Z сказал:

А если говорить о идеальных сферических стандартах в вакууме с позиции чистой теории, то и PPPoE - дичь. 802.1х с динамическим назначением влана - вот в чём сила.

Теоретег.

Ты этот 802.1x пробовал настраивать?)

Так то он хороший, только нихера не юзерфрендли.

Я как то даже думал аутентификатор отдельный под венду для него написать, ибо встроенный какой то тугой, но мотивации не хватило, ибо на практике мне не нужно нафик было.

В роутерах оно тоже есть, в паре штук, часто там написано что прошивка специально для провайдера ххх из хз откуда.

 

Да и не понятны цели.

Если тебе просто опознать юзера будучи провайдером то пппое или ипое, иначе ССЗБ.

[M-a-x-Z]

1 час назад, dr Tr0jan сказал:

Я не провайдер (скорее большое предприятие), но впервые слышу, что на каталистах можно терминировать L2TP и PPTP.

Нельзя конечно. Но в том и прелесть L2TP и PPTP что это может делать 1-2 сервера в середине сети. А PPPoE ндао спускать ниже. Больше железа менять.

 

1 час назад, dr Tr0jan сказал:

Не путайте клиента (тот, кто вам деньги платит или получает услугу) и пользователя (user). В VPN всегда проверяется валидность клиента (аутентификация), а уж, кто является клиентом - пользователь, машина или сеть - это вопрос из совершенно другой оперы.

Ну мне не важно кто платит) Я не оператор. Клиент - это юзер (не так важно, совпадают его Windows идентификаторы с сетевыми или нет). В данном случае 802.1х позволяет аутентифицировать клиента по его логину паролю и на основании аутентификации авторизировать его в нужной сети, зафиксировав при этом IP в журнале. Всё что надо. В сеть его можно поместить с соответствующими политиками и соседями. Как PPPoE, только без инкапсуляции))

 

1 час назад, dr Tr0jan сказал:

У меня работает вообще прекрасно

У вас работает 802.1х на проводе? Вы совершенно случайно не из банковской или финансовой сферы (можно в личку ответить - реально очень интересно. Я обращался к интеграторам и вендорам на предмет кейсов по внедрению, но адекватных не нашлось)? Не видел, что бы где-либо ещё в крупных компаниях его смогли внедрить из-за большого количества клиентских настроек и разнообразия софта.

1 час назад, dr Tr0jan сказал:

Да, конечно. В чём проблема?

Много сложностей на стороне клиента. Начиная с того, что есть ограничение на размещение его в открытом доступе. Его даже на сайте циски без смартнета не скачать.

 

 

Изменено 12 марта, 2018 пользователем M-a-x-Z

[M-a-x-Z]

57 минут назад, Ivan_83 сказал:

Весь CHAP уже давно взломали, всё.

Для MS-CHAPv2 можно взломать хэш (не пароль!). Или уже и пароль знаешь как взломать? Так что вполне себе как защита от дурака и школьника соседа проходит. Тем более весь чувствительный трафик давно в SSL. Даже внутри корпоративных сред.

 

58 минут назад, Ivan_83 сказал:

Или это лидеры рынка деревни гадюкино?)

Ну конечно, Екатеринбург не Москва. Но выше я назвал: местные билайн, акадо вовсю юзают.

 

1 час назад, Ivan_83 сказал:

Теоретег.

Так то он хороший, только нихера не юзерфрендли.

Именно это я и сказал. Не понятно, к чему сарказм:

 

1 час назад, Ivan_83 сказал:

Ты этот 802.1x пробовал настраивать?)

Хотя выше dr Tr0jan пишет, что оно работает....

[Ivan_83]

59 минут назад, M-a-x-Z сказал:

Для MS-CHAPv2 можно взломать хэш (не пароль!). Или уже и пароль знаешь как взломать?

https://www.securitylab.ru/analytics/428488.php

Дальше брут или радужные таблицы.

 

59 минут назад, M-a-x-Z сказал:

Так что вполне себе как защита от дурака и школьника соседа проходит.

Опишите уже угрозы, что и от кого защищаете.

Защищать доступ в инет уже давно не надо, кончились помегабайтные и тарифы с ограниченным временем.

Я писал что чап выкинули как и старые впн потому что оно не выполняло основную функцию впн.

Чап в пппое оставили, ибо всем пофик, у телефонистов вообще сплошное решето везде и всегда, а пппое это ихний костыль.

 

59 минут назад, M-a-x-Z сказал:

Ну конечно, Екатеринбург не Москва. Но выше я назвал: местные билайн, акадо вовсю юзают.

Так я писал ещё большие епеня - Иркутск, и про ещё меньших провайдеров.

В мск пров к которому я был подключён тоже юзал пппое (для меня все ппп одинаково неудобны, как для хомяка) но уже пару лет как на ипое перешёл.

 

1 час назад, M-a-x-Z сказал:

Именно это я и сказал. Не понятно, к чему сарказм

Я отвечал вроде на более раннее сообщение.

 

1 час назад, M-a-x-Z сказал:

Хотя выше dr Tr0jan пишет, что оно работает....

Ну пока он там рядом стоит и настраивает да :)

802.1х это больше про корпоратов.

 

Здесь когда то был мозговой штурм о выборе технологии доступа.

Предлагали:

- пппое

- 802.1х

- гибрид/мутант, типа розетка-свич где 802.1х агент+симка (ну или просто хреновина которая маки натит, чтобы всё от хомяка сшло с одним срц маком, кажется так)

- ипое

 

Проблемы при этом в общем две:

- вовремя освобождать адреса

- соотнести абонента с тем что в биллинге + сорм чтобы знал

 

В общем допилили скрипты и юзают ипое как самый без проблемный вариант, в режиме влан на хомяка. Ну и пппое ещё живо.

 

Что касается доступа извне то я бы грыз SSTP, SSH, OpenVPN.

Мне лично сейчас удобнее всего ssh.

SSTP встроен в венды, опенвпн в принципе везде поднимается.

 

IPSec штука трудная, лучше оставить это всяким корпоратам, которым нужна сертифицированная крипта, пусть страдают.

[M-a-x-Z]

7 минут назад, Ivan_83 сказал:

https://www.securitylab.ru/analytics/428488.php

Дальше брут или радужные таблицы.

Вот вообще не для чайников. Не для соседских разборок.

33 минуты назад, Ivan_83 сказал:

Я отвечал вроде на более раннее сообщение.

да я его сразу помянул как нечто очень абстрактное в широком применении.Освоить его могут только конторы с достаточно близким парком железа, осей и ПО. На нгео даже винда существенно по разному реагирует.

35 минут назад, Ivan_83 сказал:

В общем допилили скрипты и юзают ипое как самый без проблемный вариант, в режиме влан на хомяка. Ну и пппое ещё живо.

Да я тут уже понял, в какой холивар наступил про абонентов. Давайте не буем про PPPoE.

 

8 минут назад, Ivan_83 сказал:

Опишите уже угрозы, что и от кого защищаете.

Я ж говорю - удалённый доступ сотрудников к корпоративным сервисам (не банк, не финансы, не оборонка). Несколько сотен сотрудников. Т.е. уже к каждому бегать не охота с настройками, особенно для разных ОС. Тем более они бывают в командировках. Все чувствительные сервисы интрасети рбаотают по SSL на нормальных сертификатах.

Поэтому дешифровка тоннеля не особо пугает. Но и гонять полностью открытые данные через глобальную сеть немного непривычно. Неприятным является раскрытие пароля(т.к. пароль уже используется для доступа к куче других сервисов). Но гораздо проще радужных таблиц воровать у пользователей пароли при помощи фишинга и социальной инженерии, поэтому можно и с MS-CHAPv2 смириться.

(сейчас работает PPTP, но на жутко глючном проприетарном софте. А кроме того его поддержку недавно выпилили из макбуков)

 

На самом деле L2TP/IPsec хорошо подходит. Но напрягает, что его нельзя обучить принимать любых клиентов (в смысле ПК) при не любых учётных данных L2TP (в смысле пользовательских).

Скорее всего решена задача будет через pre-shared key. Он позволяет хорошенько зашифровать и MS-CHAPv2 внутри L2TP и сами данные. Однако сам по себе - это не тот инструмент, т.к. сервер всё-таки хотелось бы удостоверять чем-то типа GeoTrust, а клиентское устройство проверять не требуется.

[Ivan_83]

53 минуты назад, M-a-x-Z сказал:

Я ж говорю - удалённый доступ сотрудников к корпоративным сервисам (не банк, не финансы, не оборонка). Несколько сотен сотрудников. Т.е. уже к каждому бегать не охота с настройками, особенно для разных ОС. Тем более они бывают в командировках. Все чувствительные сервисы интрасети рбаотают по SSL на нормальных сертификатах.

Поэтому дешифровка тоннеля не особо пугает.

А что пугает?)

А как насчёт инжекта и эксфильтрации? Или повторной отправки одних и тех же данных?

 

Если l2tp совокупляется с радиусом то можно принимать что угодно без проверок.

[M-a-x-Z]

5 минут назад, Ivan_83 сказал:

А что пугает?)

1) Утрата логина-пароля пугает. Но не доходя до паранои. Пугала бы сильно - завели бы PKI

2) Не хотелось бы совсем уж plain-text при передаче трафика. Защиту от любопытных соседей хотелось бы поставить. Но это не так критично.

9 минут назад, Ivan_83 сказал:

Если l2tp совокупляется с радиусом то можно принимать что угодно без проверок.

не понял мысль

[Ivan_83]

Вот скажем mpd5 умеет вроде через радиус авторизовывать и л2тп умеет.

Фрирадиус можно настроить чтобы всегда выдавал ОК на всё.

[M-a-x-Z]

30 минут назад, Ivan_83 сказал:

Вот скажем mpd5 умеет вроде через радиус авторизовывать и л2тп умеет.

Фрирадиус можно настроить чтобы всегда выдавал ОК на всё.

Да нет же. Сам L2TP нормально дружит с радиусом, знает логины и пароли пользователей и их пускает. Тут никаких проблем нет.

 

Проблема (неудобство) в подлежащем IPsec туннеле, который требует аутентификацию уже не юзера, а конкретной машины выполняющей подключение. Либо сертификатом, либо PSK.

Ничем более простым тунель не прикрыть.

[dr Tr0jan]

16 hours ago, M-a-x-Z said:

Но в том и прелесть L2TP и PPTP что это может делать 1-2 сервера в середине сети. А PPPoE ндао спускать ниже. Больше железа менять.

Да ну. Всё PPPoE прекрасно работает, если мы его терминируем не за тысячу километров (да и это невеликая проблема). И это конечно же не ваш вариант. Ибо мухи (доступ ISP) отдельно, котлеты (удаленный доступ сотрудников) отдельно.

 

16 hours ago, M-a-x-Z said:

У вас работает 802.1х на проводе? Вы совершенно случайно не из банковской или финансовой сферы ...? Не видел, что бы где-либо ещё в крупных компаниях его смогли внедрить из-за большого количества клиентских настроек и разнообразия софта.

На проводе, в помещениях, где много случайных людей. Мы оказываем транспортные услуги. Проблем нет никаких. NAS на базе Win2012 R2, каталисты 2960 и клиенты Win7/8.1. Сложности были с WinXP, но это было давно и неправда.

 

16 hours ago, M-a-x-Z said:

Много сложностей на стороне клиента. Начиная с того, что есть ограничение на размещение его в открытом доступе. Его даже на сайте циски без смартнета не скачать.

Вообще не вижу проблем. Партнёры размещают в открытом доступе. Ну а смартнет однозначно нужен :D.

 

14 hours ago, Ivan_83 said:

Ну пока он там рядом стоит и настраивает да :)

802.1х это больше про корпоратов.

И нет, и да.

Если бы не M-a-x-Z, я бы и забыл что оно у меня есть (ибо работает-не-трожь с 2013ого года, туда не лазил от слова совсем).

Но конечно это только корпоративы. Ни в коем случае не доступ ISP.

Изменено 13 марта, 2018 пользователем dr Tr0jan

[M-a-x-Z]

Я шокирован и обескуражен поведением L2TP в Windows 10.

 

1. Есть ноутбук, с Win10 без последнего глобального апдейта. В нём при настройке L2TP соединение, независимо от настроек шифрования, начинает подключение с фазы открытого L2TP. Т.е. даже если я в настройках поставил "обязательное шифрование" - то если сервер обязательного шифрования не требует, то устанавливается полностью открытое соединение! Это очень неприятно. Когда ты пишешь - зашифруй меня, винда говорит - ОК и сливает весь трафик открытым.

2. Есть ноутбук с свежеустановленной Win10. Там, видимо, эту багу пропатчили, сделав из неё новую багу. Теперь стало наоборот - при любом положении селектора безопасности подключение начинается с ISAKMP фазы IPsec. Т.е. даже если я выбрал "не разрешено, отключится, если требуется шифрование" - устанавливается (пытается установиться) зашифрованный канал. Причём что MS пихает в IKE в качестве сертификата - вообще не известно.

 

Т.е. в баге 1 есть риск установки открытого канала при обязательном шифровании, а вариант 2 в принципе не будет работать с сервером без шифрования, даже если так настроено. Это одна ОС одного производителя.

Да как так-то? Доколе!

 

Из всего сказанного следует, что селектор уровня безопасности тупо не работает (игнорируется виндой), а политика вшита и она зависит от версии ОС

 

 

Изменено 14 марта, 2018 пользователем M-a-x-Z

[ShyLion]

7 minutes ago, M-a-x-Z said:

Я шокирован и обескуражен поведением L2TP в Windows 10.

 

1. Есть ноутбук, с Win10 без последнего глобального апдейта. В нём при настройке L2TP соединение, независимо от настроек шифрования, начинает подключение с фазы открытого L2TP. Т.е. даже если я в настройках поставил "обязательное шифрование"

ProhibitIpSec проверял в реестре? Не исключено что ранее был установлен параметр в рамках борьбы с недопровайдерами или сотовыми операторами.

[M-a-x-Z]

18 минут назад, ShyLion сказал:

ProhibitIpSec проверял в реестре? Не исключено что ранее был установлен параметр в рамках борьбы с недопровайдерами или сотовыми операторами.

Ноутбук мой корпоративный. За два года пределов корпоративки не покидал (максимум в роли Wi-Fi клиента).

В реестре такой параметр не нашёлся.

 

Но текущее поведение свежеустановленной ОС, на мой взгляд, тоже не адекватное. С кем и как она пытается установить криптотоннель, если ей русским языком сказано не шифровать и не использовать ключи и сертификаты ((

Попробую запросить в Cisco TAC оптимальные настройки L2TP IPsec с их точки зрения. Только что-то мне подсказывает, что не ответят они адекватно ((

[ShyLion]

2 minutes ago, M-a-x-Z said:

Ноутбук мой корпоративный. За два года пределов корпоративки не покидал (максимум в роли Wi-Fi клиента).

В реестре такой параметр не нашёлся.

 

reg query HKLM\SYSTEM\CurrentControlSet\services\RasMan\Parameters

 

2 minutes ago, M-a-x-Z said:

Но текущее поведение свежеустановленной ОС, на мой взгляд, тоже не адекватное. С кем и как она пытается установить криптотоннель, если ей русским языком сказано не шифровать и не использовать ключи и сертификаты ((

Попробую запросить в Cisco TAC оптимальные настройки L2TP IPsec с их точки зрения. Только что-то мне подсказывает, что не ответят они адекватно ((

Ждать адекватности от программистов винды - утопия :)

Они в первую очередь затачивают на свои решения, а совместимость с остальными вендорами у них на предпоследней очереди.