Fejlesztettünk egy szerver alkalmazást, és miután a megrendelőnek a hálózatán belül feltelepítjük, továbbra is el szeretnénk majd érni az ottani éles rendszert. Ehhez Cisco VPN-t kell majd használnunk. De.
Másik megrendelő esetén (jelenlegi partnere) egy szoftveres Cisco VPN klienst használtunk: kaptunk kulcsokat, feltelepítettük cégen belül, és szükség esetén bejelentkeztünk. A jelenlegi megrendelő szerint viszont a szoftveres VPN nem elég biztonságos, ezért azt kéri, hogy a kapcsolatot egy Cisco routerrel kialakított csatornán bonyolítsuk.
Véleménye szerint router használata esetén tudja ő garantálni saját magának, hogy tényleg mi jelentkezünk be, és nem valaki más (???). Feltételezem itt arra gondol, hogy a routert nem viszem haza, otthonról buherálni a rendszerét.
Az lenne a kérdésem, hogy a routeres megoldás tényleg ad valami plusz biztonságot a szoftveressel szemben? Ha igen, pontosan mit? Vagy csak önámítás az egész (részükről)? Nincs kedvem valami marketing bullshit miatt routert vetetni a cégünkkel.
Feltételezem, ha a routerről letöltöm a kulcsokat, akkor a szoftveres klienssel is fel tudom őket használni, nem?
Köszönöm!
Hozzászólások
fel
Ami biztos, hogy pont-pont kapcsolat esetén amit a router-es megoldás ad az annyival több, hogy a forrás biztosnak tudható. Vagyis nem fordulhat elő amit írtál, hogy otthonról csatlakozol a VPN-re. Egyébként performancia különbségek lehetnek a két megoldás között, security szempotból fókuszálva az en/decryptálásra szerintem nincs különbség. Még egy olyat lehet megcsinálni, ha megoldható, hogy csak adott publikus címtartoményból engedélyezi az ügyfeled a VPN-hez szükséges forgalmat (isakmp (udp 500 és/vagy 4500), esp).
Érvek és ellenérveket szerintem lehet gyűjteni mindkét megoldásra, de ha jól értem akkor a VPN csak egy rövid ideig kellene és nem hosszútávú. Pl: Soft client előnye, hogy nincs permanens tunneled, idle timeout...
Cs.
és ha nem vesz Cisco routert hanem egy akarmivel hamisit egy Cisco macaddresst amit kitesz egy fix IP cimre, (ezeket diktalja be a koncentrátornak) majd azon az interface-en lép ki megfelelően natolva egy belső Cisco Software VPN klienssel?
GRE over IPSec Tunnel-t nem tudom, hogy milyen módon tudsz létrehozni soft klienssel. Persze minden kijátszható, ha csak nincs valami posture assesment rendszer mint a Cisco NAC...
Cs.
Nem kijátszani szeretném a partnert, hanem csak 1) megérteni az álláspontját 2) ha azzal valami nem stimmel, akkor esetleg ajánlatot tenni a változtatásra.
Ha végül router-ben állapodunk meg, akkor router is lesz, függetlenül attól, mit gondolok a megoldásról.
O.K.
A túloldal szerintem keveri a hardveres vpn-t azzal, hogy erős authentikációhoz hardver birtoklása (token, smartcard) kell. A router maximum annyival biztonságosabb, mint a szoftveres megoldás, hogy így a kulcs a routerben (korlátozott hozzáférésű eszköz) van, nem pedig egy PC-n. Szerintem...
"Feltételezem, ha a routerről letöltöm a kulcsokat, akkor a szoftveres klienssel is fel tudom őket használni, nem?"
Hát nem, nem ilyen egyszerű a történet.
"Az lenne a kérdésem, hogy a routeres megoldás tényleg ad valami plusz biztonságot a szoftveressel szemben?"
Igen, egyéb tényezőktől függően adhat.
"Nincs kedvem valami marketing bullshit miatt routert vetetni a cégünkkel."
Létezik kiváltására jóval olcsóbb alternatíva, ami valóban működik is.
(Ezt anno D. Telekom-os rendszermérnök se hitte el, de bebizonyítottuk.)
Mesélj :-) Jó, persze, van, akinek elhiszem :-P
"Hát nem, nem ilyen egyszerű a történet."
Kulcsfile write-only? Így érthető lenne.
"Igen, egyéb tényezőktől függően adhat."
Tudnál példákat mondani? Azon kívül, hogy a kulcsok nincsenek ott a kliens gépén, nekem nem sok minden jut eszembe.
"Létezik kiváltására jóval olcsóbb alternatíva, ami valóban működik is."
Kíváncsivá tettél, lehetne erről többet is megtudni? :)
Köszi.
Alapvetően a privát kulcsot nem lehet exportálni legalábbis alapértelmezésben, azt a routerben hozod (hozhatod, lehet kivülről is importálni) létre (crypto key gen ... ) , a cisco guruk majd megmondják, ez mennyire biztonságos, vagy mennyire egyszerű kiszedni, nem hiszem, hogy minden cisco device-ben amiben van ipsec support van fullos HSM modul is, de szerintem mezei user nem tudja kinyerni.
Némi info IOS-os cuccokhoz, gondolom ASA/PIX esetén is van valami.
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gt_ppkey…