Layer 2 ssl képes vpn, Softether-en kivul?

 ( Vamp | 2018. június 11., hétfő - 13:42 )

sziasztok!

A kerdes a cimben.

Tudtak olyan szoftvert, ami Layer 2 VPN-n tud SSL alatt (a VPN forgalom https-nek latszik) a Softether VPN-en kivul?

Nincs bajom amugy a Softether-el, csak erdekelnenek az alternativak.

Ui: olyat ne irjatok ami pl 3-4 szoftverbol all ossze, olyan kene, ami "gyarilag" tudja ezeket a funkciokat (mint a Softether)

A WireGuard tetszene, mert szogegyszeru, csak sajnos ahogy lattam, magaban nem igazan lehet a fontieket megcsinalni vele...

Fontos meg, hogy lehetoleg legyen Win-es kliense, az sem lenne meg rossz, ha Andriod-ra is lenne, de az mar plusz.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Bármely Mikrotik eszköz vagy RouterOS VM, SSTP serverrel, afelett pedig EoIP tunnel.

OpenVPN bridge mode? Layer2 ssl, bar nem tudom, hogy minek fog latszani, elvileg ssl-nek kell hogy latszodjon.

Tehát van egy 443-as portot átengedő kijárat, és mindenféle egyéb forgalmat át szeretnél rajta tornázni. Nem szép, de legalább ronda...

SSL alapu VPN nel a kimeno adat SSL, az most, hogy nem hypertext, az mind1, sztm, nem borul semmi szabvany. Csereben viszont a tuzfalak 99%-an atmegy.

így van.
Detektálni csak úgy lehet ha:
- white-list alapú a TCP 443-as port kiengedése.
- rápróbálnak a szerver 443-as portjára, hogy kiderítség HTTPS szerver figyel-e rajta.
- feltörik az SSL-t a hálózat határán lévő proxy-n

Ilyen a gyakorlatban igen ritkán látni, a 3. eset pedig jogilag is erősen problémás megoldás, még egy céges proxy-n is. Szóval a való életben tényleg az van, hogy az esetek 99%-ban simán kimegy.

--
zrubi.hu

A 3. eset teljesen bevett gyakorlat céges proxy esetén, a szabályzatban leírt, dolgozók által ezáltal ismert módon. Nem kötelező céges hálóról privátban böngészni - ha meg nem privát, akkor meg a cég nyugodtan átcsomagolhatja.

Egyébként viselkedés/foralom eloszlás alapon is lehet sejteni, hogy mi az ábra, és egy jól összerakott céges policy esetében illendőennagy valagba rúgás jár az ilyenért.

Megérkezett-e a fizetésed a bankszámládra?
Van-e még pénzed a kafeteriára kapott szép kártyán?

A legszigorúbb megkötések mellett is teljes nyugalommal intézheted munkaidőben, céges hálózatról... A céged meg feltöri - random reason here - miatt.
Szerintem a bank nyugodtan pert indíthat ilyen miatt, de akár a felhasználó is.
Nyilván az fog nyerni aki többet költ jogászokra ;) - de ettől még a cég magyarázáta nem helytálló.

Attól hogy rabszolga vagy egy multinál, még VAN privátszférád. Ennyi erővel a klotyóba is tehetnének kamerát, az is normális lenne?

Szerintem.

--
zrubi.hu

Netbankok általában whitelisten vannak,de amúgy egyetértek. Kiváncsi lennék amúgy, hogy a GDPR érában a céges MITM proxyk hogy állják meg a helyüket. Mondjuk megnézed a laborleletedet..., hog yne bankos példát hozzak.

A céges proxy egyébként is kezel személyes adatot a logokban - igen, tudom, az eü. információ különleges adat, szigorúbb szabályok vonatkoznak rá - de ha az adatfolyam _tartalmát_ nem tárolja, akkor véleményem szerint nem adatkezel.

Egyébként az ilyen "443-as porton tolok vpn-t" dolgot az adott munkaállomás figyelésével és korrekt korlátozásával (mi telepíthető/futtatható rajta) jórészt meg lehet fogni/ki lehet szűrni, a többire meg hálózati forgalom szűrése illetve statisztikai elemzése is (viselkedés alapú védelem) jó lehet. De a 443-as portra menő forgalomnál akár az is elég, ha a határvédelem "bekérdez" a túloldalra egy korrekt https kéréssel, aztán ha nem az jön vissza, aminek illene (a túloldal nem titkosításba csomagolt http-t beszél), akkor lecsapja az adott irányt. Igen, tudom, van olyan ip-http(s) eszköz, ami "ránézésre" http-t beszél, csak épp a post kérésekbe, illetve az arra adott válaszokba van becsomagolva a valós ip forgalom...

„Ennyi erővel a klotyóba is tehetnének kamerát, az is normális lenne?”

A Kúria szerint igen: „Nem valósítja meg a tiltott adatszerzés bűntettét az, aki mozgásérzékelős, felvételek készítésére alkalmas kamerát szerel fel a munkahelyén, a kft. női mosdójában azért, hogy az ott történteket rögzítése – a Kúria eseti döntése.”

Őőő, ennyira naív voltam?
Vagy ez csak valami vicc?
Vagy csak elgurult a gyógyszer a vének tanácsában?

Ja nem, úgy látszik tényleg csak ez számít:
Nyilván az fog nyerni aki többet költ jogászokra

--
zrubi.hu

Az indoklásból az is kiderül, hogy a Kúria a törvény betűje szerint járt el. A kérdés inkább az, hogy a törvény direkt lett ilyen, vagy csak a szövegezés előtt/közben, esetleg utána, elfelejtették megkérdezni a hozzáértőket.

sub
--

Nem szép, de legalább ronda

Ez csak attól függ, melyik csapatban játszol ;)

--
zrubi.hu

Erre amugy szerintem tokletes es annyira nem is feltetlenul ocsmany megoldas egy protocol multiplexer alkalmazasa.
En sslh-t hasznalok es faek egyszeru + megbizhato + minden szolgaltatasomat elerem mindenhonnan.

-------------------------
Roses are red
Violets are blue
Unexpected '}' on line 32

Laikus kérdés: Layer2 VPN esetén úgy lehet becsattanni egy adott subnetre távolról, mintha te is ahhoz a broadcast domain-hez tartoznál?
--

igen, teljesen olyan mintha egy LAN-ba lennetek. Ez az elonye, a hatranya pedig nagy halozat eseten pont a broadcast.

Hogy kicsit on-topic legyek :)

Ot probalta mar valaki?

https://github.com/xebd/accel-ppp

sub


"I'd rather be hated for who I am, than loved for who I am not."