Wireless mreze se daju skoro perfektno zastiti sa IPSec!
hm… opet se postavlja pitanje - sta zelis da zastitis, koliko si placen za to itd… ne pada mi na pamet da jos IPSec koristim za neke wireless mreze za internet pristup… ako se radi o nekim P-t-P linkovima na vecim udaljenostima ( tipa dvije zgrade - poslovnice banke ili nes drugo ), onda mozemo i razgovarati o IPSecu…
Pozdrav
Ice
“Skoro” je malo precjenjen izraz,u praksi je inace WLAN jos uvijek jedno od rijesenja koja za izmjenu vaznih informacija i povezivanje vaznijh network cvorova nije za preporuciti.
Sigurnosni Dizajn Wlana je jednostavno primitivan i minimalisticki uredjen,toolsi poput Airocracka,Kismeta ,Network Stumbler dovoljno dokazuju sigurnosne rupe istog.
http://eks0.free.fr/whax-demos/?f=Whoppix-wepcrack_config.xml …toliko o Wlan
pozdrav
[quote=die7]“Skoro” je malo precjenjen izraz,u praksi je inace WLAN jos uvijek jedno od rijesenja koja za izmjenu vaznih informacija i povezivanje vaznijh network cvorova nije za preporuciti.
Sigurnosni Dizajn Wlana je jednostavno primitivan i minimalisticki uredjen,toolsi poput Airocracka,Kismeta ,Network Stumbler dovoljno dokazuju sigurnosne rupe istog.[/quote]
Nije to tolko velik problem kao sto zvuci. Zato se jednostavno koristi jaca kriptografija na drugim layerima i problem rijesen. Zato sam i spomeno IPSec. Sa IPSec mozes prebacit sifriranje na transport protokol onda i ako neko predje wlan-sigurnosne mehanizme nije nista uspio jer jos uvjek stoji pred sifriranim IP protokolom! A i bez IPSec, ako se mreza na application-layeru dovoljno dobro osigura mogu se izbjec mnogi problemi. Za izmjenu vaznih informacija se koristi PGP (gnupg) neovisno o sigurnosti mreze.
To sve zavisi od toga kolko si paranojican! Moj kucni wlan je IPSec-ovan! 
U ovim često - tend to FLAME - diskusijama osjećaj mjere je jako bitan, kao i u slučaju pravljenja razlike između Paranoid vs TotalOpen/Liberal access rules. Ništa nije potpuno sigurno osim MOZDA neumreženih računara. Pitanje je samo vremena a i ostalih resursa, prvenstveno SIVE MASE…I guess…
ama nije “tend to flame”… samo se razmjenjuju iskustva i primjena… a ako mislis ti da si paranoican, onda mi reci sta mislis da o koristenju PPTP protokola ( MPPE ) u wired mrezi koja je fully switched & routed, kako bi se jos dobio mali procenat na sigurnosti podataka 
Pozdrav
Ice
PS: ZNAM !!! da je PPTP implementacija u M$u cista glupost, ali eto cisto da zeznem one pocetnike
Nisam siguran dali bi dobio ista na sigurnosti. IPSec ima puno prednosti. Bolje standardiziran, vise dokumentacije. A sto se tice “fully switched & routed”, IPSec podrzava tunnel modus, tako da moze potpuno zamjeniti PPTP i MPPE i L2TP i kakvih varianti vec sve ima.
A najveca prednost kod IPSec je cinjenica da je standardni dio IP protokola u verziji 6.
IPSec koristi ISAKMP, standardni protokol radne grupe IETF (Internet Engineering Task Force), koji se koristi za aktualiziranje i vodjenje Kljuceva,isti je uzasno osjetljiv i provokacija DoS napada je vrlo jednostavna i upjesna,sa istim imaju probleme i Cisco,kao i OpensWan…Problem lezi naravno u Internet Key Exchange protokolu.
Pogotovo kada je rijec o IPSecu nesmije se zaboraviti da isti nije Multiprotokol sposoban i kada je rijec o “sigurnom umrezavanju 2 cvora” tj, o Layer-3-VPN mora se naglasiti da da sama implementacija i postavka istog donosi niz kako sigurnosni tako i funkcionalnih ali i financijski problema?
1.Preshered key i Main Mode (za sve klijente mora biti isti,enormni rad na podjeli istih)
2.Nepodrzavanje Autentificiranja preko Remote Accesa (Radius,SecureID)
3.Resource problemi kod veceg broja VPN konekcija
4.Administracija SPD kako i na strani klijenta tako i na strani Centralnog sistema vrlo opsezna.
5.Izmedju IPSec klijenta i VPN-Gatewaya nesmije doci do IPNAT ,inace nema licnog autentificiranja korisnika
6.IP,DNS,WINS adrese moraju biti kod klijenta staticne!
Za gore navedene tacke tek Cisco pokusava naci rijesenja iako za tacku 6 nema rijesenja,a cijena Cisco produkata je tema za sebe.
Znaci :
DA moze se zamisliti spajanje putem IPSeca (uz gornje nedostatke )
NE nacin uopste nije siguran a implementacija i cijena VPN-Gatewaya koje bar donekle mogu izaci sa navedenim rupama na kraj je prijetrana.
I NIKAKO NE: preko Wlana,to je suluda kombinacija!!!
pozdrav
IPSec podrzava autentifikaciju preko certifikata.
Mozes isto izbjec koristenje Internet Key Exchange protokola (IKE) sa manuelnim definisanjem stalnih kljuceva. (Svjestan sam da to nije sigurno rijesenje).
Sto se tice ogranicenja radi NAT i ne-staticnih adresa, to je problem IP protokola koji je rijesen u verziji 6.
IPSec naravno nije perfektan, ima svoje slabe tacke. Posebno sto je relativno kompliciran. Ali opet se moze koristit da se osigura nesigurna mreza kao sto je npr. wlan. Pogotovo u manjim mrezama. Za mene funkcionise dobro sa IPSec iz linux kernela bez nekog extra skupog hardvera.
[quote=ptah]IPSec podrzava autentifikaciju preko certifikata.
Sto se tice ogranicenja radi NAT i ne-staticnih adresa, to je problem IP protokola koji je rijesen u verziji 6.[/quote]
Tu se nebi bas slozio,poblem je i dalje u multiple IPsec-Clientima,sto znaci da sam protokol ne rijesava problematiku,rijetki su NAPT routeri poput tipa Asante,Nextland i jos par koji izlaze sa tim na kraj a da su jos na civilizovanonom nivou cijene.Znaci da smo opet na vec navedenim problemima:
1.Nedostatak tehnickog rijesenja
2.Znatni Financijski izdatci pri izmjeni Gatewaya i ulaganje vremena u konfiguraciju .
3.Sigurnosni rizici koji IPSec donosi sa sobom
Ptah,sigurno u SOHO okrugu takvo nesto je zamisljivo ali u spajanju vecih ili Heterogenih mreza jos uvijek samo jos jedna od mogucnosti,na kojoj jos treba raditi,ali nikako se nemoze uporediti sa mogucnostima SSL,ili SSH koji nude 2-3-4 faktorsku autentifikaciju
http://www.schneier.com/paper-ipsec.html
Ne samo da nije sigurno rijesenje, vec i nije izvodljivo u dinamicnim Infastruktuskim okolinama vecih mreza.
http://ikecrack.sourceforge.net/ …mislim da govori mnogo…
http://seclists.org/lists/bugtraq/2005/Feb/0074.html
http://www.networkworld.com/news/tech/2001/0528tech.html
Dizajn same izmjene Kljuceva ili Autentifikacije je uzasno porozan,Oakley-Protokol koji je zamjenio Diffie-hellman Algoritmusa u nadi da ce izbjeci DoS i Brute force napadima ispada jog gore podlozan istima.
Sve dok sigurnosna sema podleze Challenge/response dizajnu niti protokol niti nivo sigurnosti nisu i nemogu biti definisani kao “SIGURNI”,svejedno dali se radilo o 2 ili 3 4 nivou (RSA,Tocken i sl)
Jedino sto se bas zbog navedene problematike (u mom proslom postu) nudi ne samo kao alternativa vec zasigurno i buducnost sledecih par godina je SSL koji je mnogo skalinaraniji i flexibilniji i jednostavniji u implementaciji ,a takodje pruza visi stupanj sigurnosti .
Sve do onog dana kad ce odvec prastari TCP/IP protokol za premostavanje daljina po pitanju VPN zamjeniti jedan novi (samo za te svrhe kreiran) Protokol sa novim metodama Autentifikacije i Kontrole tesko ce se moci govoriti o sigurnosti.
pozdrav
[quote=die7][quote=ptah]IPSec podrzava autentifikaciju preko certifikata.
Sto se tice ogranicenja radi NAT i ne-staticnih adresa, to je problem IP protokola koji je rijesen u verziji 6.[/quote]
Tu se nebi bas slozio,poblem je i dalje u multiple IPsec-Clientima,sto znaci da sam protokol ne rijesava problematiku,rijetki su NAPT routeri poput tipa Asante,Nextland i jos par koji izlaze sa tim na kraj a da su jos na civilizovanonom nivou cijene.Znaci da smo opet na vec navedenim problemima:[/quote]
Zasto? Kod IPv6 nema potrebe za NAT niti dinamicke adrese jer jednostavno ima dovoljno adresa. Bilo bi blesavo da se ulozi tolko resursi u zamjenu IPv4 protokla i da se onda opet koriste budalastinje kao NAT i NAPT.
Ja i imam samo iskustva u SOHO okruzenju tako da sigurno imamo razlicite tacke gledista.
SSL i SSH su na application-layeru. Sta me sprijecava da koristitim SSL i SSH u IPSec mrezama?
Ne samo da nije sigurno rijesenje, vec i nije izvodljivo u dinamicnim Infastruktuskim okolinama vecih mreza.
http://ikecrack.sourceforge.net/ …mislim da govori mnogo…
http://seclists.org/lists/bugtraq/2005/Feb/0074.html
http://www.networkworld.com/news/tech/2001/0528tech.html[/quote]
Mislim da manuelno definisani kljucevi nisu isto kao i PKA tako da te slabe tacke PKA autentifikacije nemaju efekta. Ili?
Kod manuelno definisanih kljuceva mozes birat algoritam za sifriranje i duzinu kljuca. Ja koristim 192 bit duge DSA kljuceve a mogu se koristiti i do 448 bit dugi blowfish kljucevi (po man 8 setkey). Sumnjam da se oni mogu tako lako pogodit.
Zar se kljucevi ne razmjenjuju sifrirano? Onda bi za DoS napad neko vec moro imati kljuceve, ili?
Mislim da brkas pojmove Ptah,radi se jos uvijek o VPN,o Gatewayu i o clientima koji trebaju da komuniciraju,128 Bit-Adrese sa tim nemaju nikakve veze ili bi pokusao objasniti nama kako vidis povezivanje 200-300 Clienata putem jedne konekcije sa 16 Mbita.
Mislim da je je bolje se malo vise informisati o tome sta je VPN,kako se povezuju i kako nastaje konekcija izmedju 2 Gatewaya nego se javno blamirati po Forumu brkajuci Pojmove,a kad ti se to objasni jos opostati i drzak a i nezahvalan!
Sem toga sta ti znaci ova rijec " budalastinje" nije mi bas poznata!?
Mislim covjece da to sto si ti “uspjesno” povezao dva Clienta ne znaci nista i sa temom nema bas puno veze!
http://openvpn.net/ …procitaj tih par stranica prije nego sto se bezveze zapaljujes
Dobro,uvidli smo da kod tebe nije problem samo SOHO iskustva vec uopsteno znanje o, i smisao VPN,Tunelske komunikacije i sigurnosti mreze kao i koristenju iste!
Ne sprijecava te nista kao ni da u kamionu transportujes auto,usporedi prednosti SSL-VPN sa IPSec VPN pa ce ti se samo kazati!
Poslao sam par linkova koji ti pokazuju sta je DSA…ovdje jos jedan…
Ne …u tome nije smisao DoSa,vec kontinuirano slanje kljuca sa spoofanom adresom jednog autorizovanog korisnika dovodi zrtvu do prekovise trosenja resursa i konacnog DoSa.
Ptah neuzmi diskusiju suvise licno,iz ovakvih razmjena covjek samo moze uciti,mnogi od nas misle da mnogo ili sve znaju dok im jedan Log ili anomalija u sistemu ne pobudi sumnju.
pozdrav
budalastinja je nesto bez smila. (na bosanskom kao npr. ova diskusija je postala budalastinja.
Prosirio si diskusiju u jednu dimenziju da forum jednostavno nije dovoljan da se svaka tacka razmotri.
Mali info, IPSec != VPN;
Pocetak diskusije je bio da se sa IPSec moze osigurati bezicna mreza. Primjer:
[ bezicna mreza (192.168.1.0/24) ]<----->[ povjerljiva mreza (192.168.0.0/24) ]<------->[ … Internet … ]
[H1: 192.168.1.6]<---- bezicna mreza —>[H2: 192.168.1.1|192.168.0.1]<— povjerljiva mreza —>[H3: 192.168.0.3]<------->[ … Internet … ]
Osnovni problem kod bezicne mreze je mogucnost presluskivanja! Da bi to sprijecili ce mo jednostavno umjesto obicnog IP protokola koristiti sifirirani IP protokol tj. IPSec.
Na routeru izmedju bezicne mreze (192.168.1.0/24) i povjerljive mreze (192.168.0.0/24) podesimo IPSec sa setkey na sledeci nacin:
[code]# setkey -c
add 192.168.1.1 192.168.1.6 esp 0x201 -m tunnel -E 3des-cbc 0xcfdc5d6a590560861173dcfd28799d8eb74d343b69ab60dc;
add 192.168.1.6 192.168.1.1 esp 0x301 -m tunnel -E 3des-cbc 0x546163524c0426633a0544be7a77f863e535536bd536d3e7;
spdadd 0.0.0.0/0 192.168.1.6 any -P out ipsec esp/tunnel/192.168.1.1-192.168.1.6/require;
spdadd 192.168.1.6 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.1.6-192.168.1.1/require;[/code]
Na hostu 192.168.1.6 koji moze komunicirati samo preko nesigurne bezicne mreze:
[code]# setkey -c
add 192.168.1.1 192.168.1.6 esp 0x201 -m tunnel -E 3des-cbc 0xcfdc5d6a590560861173dcfd28799d8eb74d343b69ab60dc;
add 192.168.1.6 192.168.1.1 esp 0x301 -m tunnel -E 3des-cbc 0x546163524c0426633a0544be7a77f863e535536bd536d3e7;
spdadd 0.0.0.0/0 192.168.1.6 any -P in ipsec esp/tunnel/192.168.1.1-192.168.1.6/require;
spdadd 192.168.1.6 0.0.0.0/0 any -P out ipsec esp/tunnel/192.168.1.6-192.168.1.1/require;[/code]
Sa tcpdump mozemo vidjeti da je payload sifriran:
# tcpdump -n
[...]
00:47:34.695618 IP 192.168.1.6 > 192.168.1.1: ESP(spi=0x00000301,seq=0x11ee9)
00:47:34.695625 IP 192.168.1.1 > 192.168.1.6: ESP(spi=0x00000201,seq=0x13c77)
[...]
Tako smo na jedan vrlo jednostavan nacin osigurali bezicnu mrezu od presluskivanja na nivou transport protokola.
Sve ostalo o cemu si ti pricao je izvan teme.
A ja ne zelim da steknes dojam da o sebi mislim da znam sve, nikad to nisam tvrdio. Ova tema je za mene samo hobby i fun. Zelim samo podjeliti svoje iskustvo koje sam stekao vise probajuci nego studirajuci. Nemoj ti uzet diskusiju suvise licno.
Ptah…“Budalastinja” nije zavedena u Bosanskom rijecniku,cak ni kao sinonim,moguce da se koristi negdje u zabitima Grmeca ili okolice…ne znam,trebalo bi provjeriti
- Ja ne znam kome ti, i sta pokusavas objasniti, i na koji nacin,mozda meni …hmm,intresantno.
2.Osnovni problem bezicne mreze je sam IEEE 802.1X,ISAKMP,kao i sam IPSec i samo njeno postojanje,kao i mnogi produkti koji su izasli na trziste a da se prije toga nije razmisljalo o sigurnosti.
U samom mom Postu sam to dovoljno to i razjasnio,mislim da bi trebao procitati jos koji put
3.veruj mi na na osnovu 17 god iskustva (8 god profesionalno) mogu ocenjiti koliko ko zna (usput to mi je i posao) i zadnje sto bi pomislio jeste da si ti jedan od tipova koji misli da nesto zna.
-
Ne ja nisam pisao nista izvan teme,nego izvan skucenih granica teme i onoga sto ti zelis postaviti.
-
Ja nikad nista ne uzimam za licno
Pozdrav
Sad ti zvucis kao da mislis o sebi da znas sve.
Opet sastavljas pojmove u jednu recenicu koji nemaju nista zajednicko. bezicne mreze i IPSec nemaju nista zajednicko. Dva razlicita pojma.
Pricao si o tolko razlicitih tema da je potrebno neoliko knjiga da ih razjasni, 2-3 posta nisu dovoljna!
Nije zadatak ovog foruma niti ove diskusije da se pokaze ko kolko zna. Moj cilj je jedino produktivna diskusija sa ljudima koji djele moj hobi. Nisam ovdje da me neko “procjenjuje” nit ja zelim nekog “procjenjivat”.
Forum je i namjenjen za skucene i ogranicene teme. Za opsirnije teme sluze drugi mediji kao npr. debele knjige.
Pozdrav.
Recimo da znam vrlo mnogo,medjutim to jos ne stoji za debatu ili…
- Znaci po tebi WLAN nema nista sa 802.1x (Autentifikacijski dizajn istog),ISAKMP (Internet Massage Protokol,koji isti koristi standard za Seison i izmjenu kljuceva),IPSec (kao 3 nacin ili Layer-3-VPN povezivnja vpn takodje povezan sa gornjim)…
OK Ptah uredu je ,to sve govori valjda je i tebi sad jasno…zaljetanje u citiranje bez cinjenica i “aduta”,nema puno veze sa stvarnim znanjem.
2.Sigurno da takmicenje u znanju nije zadatak ovog Foruma ali u ovakvim diskusijama mnogi uce,a mi nezelimo da ljudi uce pogresne stvari pogotovo kada se radi o temi “Sigurnost”,koja i jeste kompleksna i koja sa na pojednostavljen nacin nemogu i nesmiju obajsnjavati…ili smatras da sa tvojim postavljanjem “Sigurnog povezivanja WLANA IPSecom” OK,i da je to to sto zelis nekom ponuditi (ili nauciti).Ne znam meni niti teme niti knjige poput “sigurnost for Dummies” nisu ni za siroku masu,a kamoli jedan Linux Forum,ipak ima na ovom Forumu mnogo naprednih Korisnika i radnika (profesinalaca).
pozdrav
gospodo - gospodo… povucite rucnu… iz vasih postova covjek moze samo zakljuciti da ste kivni i ljuti jedan na drugoga. ko je odakle i kakav rijecnik ima itd - okanite se toga… inace cemo nagovoriti moderatora da bude stroziji prema vasim postovima… ako nastavite - tema ce se sigurno morati obrisati… prvo radi osobnih uvreda, kao drugo - radi hrpe informacija koje su povezane i koje nisu… iz vasih postova bas nisam nista novo saznao, a sumnjam da bi jedan bolji korisnik mogao ista korisni izvuci… kako ja vidim - die7 prica o veci mrezama ( poslovnim gdje je i autorizacija vazna itd… ), a ptah spominje dva racunara… tako - molim vas da se definirate vasu mrezu !
ajmo redom :
-
kako je ptah opisao… koristenjem IPSeca se moze sifrirati promet izmedju dva hosta ( wireless ili wired nevazno ). eh sad kako bi drugi shvatili - cemu to? i jeli dovoljno sigurno? kakvi su sigurnosni nedostaci takve komunikacije? ( i sad se ogranicite na kratke i jasne odgovore )
-
u prvom primjeru ptah podesava tunnel za komunikaciju izmedju dva hosta i kljuc za sifriranje. eh die7 sad mi reci da li ti ovo smatras VPN vezom ? ( mislim da smo tu najvise skrenuli sa teme ).
-
vas izbor za sigurnosno povezivanje dvaju udaljenih mreza ?
Pozdrav
Ice
Ja nisam ekspert sto se tice sigurnosti ali vidim da nisi ni ti.
- Sigurnost opada sa rastom kompleksiteta, ako se sigurnost ikako moze postic ona sa pojednostavljenjem.
Ako je neko tolko naivan da recimo koristi IPSec u onakovoj formi kao sto sam ja postavio u primjeru i misli da je sa tim 100% siguran onda je to njegov problem. Sigurnost se sastoji iz mnogo slojeva i koristenjem IPSec protokola smo samo povecali sigurnost na nivou IP protokola. IPSec i sluzi za to, zato je i posto dio IPv6 protokola. VPN je skroz druga tema. Kriptografija je skroz druga tema. DoS napadi su tema za sebe.
Zao mi je ako sam nekog uvrijedio, nije mi bila namjera. I nisam kivan. I zao mi je ako sam nejasan.
Ne samo izmedju dva. Nego svugdje gdje se koristi IP protokol se moze koristiti IPSec da se isti sifrira. To je jednostavno dodatak na IP protokol.
To nije VPN veza.
OK, sad sam primjetio gresku kod sebe. Spomeno sam cesce da je IPSec na nivou “transport protokola - layer 4” u stvari sam pobrko pojmove, IPSec je na nivou “network layera - layer 3”. To je sigurno dovelo do zabune. Zaomi je. 
OpenVPN! Ali cesto su dovoljna i jednostavnija rijesenja kao sto je SSH port forwarding.
Cao
Rad same IPSec-Grupe definira Bazis Interoperativne i sigurne HOST to HOST,kao i CLIENT to HOST konekcije poznata kao VPN…haloo zar 3 posta nisu dovoljna plus hrpa linkova koje sam poslao da se to konacno shvati…meni ovo vec postaje isuvise glupo.
Ptah drago mi je da si konacno procito nase postove i uvidio sopstvenu gresku,nista zato desava se.
OpenVPN je ogranicen na samo 2 istodobne konekcije!
vise se preporrucava FreeS/WAN,ako vec Open Source
@Ice
Mislim da sam u proslim postovima dovoljno skrenuo paznju na nedostke i sigurnosne manjke IPSeca
Zavisnosti od mreze,vrijednosti podataka,renudantnosti sistema,zeljenog niova sigurnosti
dizajn povezivanja dvije mreze preko nesigurnog medija varira(Interneta)naravno sve ovisno i o financijskim sredstvima,i znanju Admistrativnog personala.
Bas,Path ja jesam strucnjak za ovu temu i nacionalno (BRD) i Intrenacionalno sam za to i Certificiran,pored mnogih ostalih aktivnosti u sigurnosnom podrucju,sto se u nivou i kvalitetu informacija u mnogim mojim postovima moze(Laik sigurno ne) vidjeti.I istim mislim da i nije potrebno to dokazivati ili pokazivati,zato mi je malo smijesno kad me neko na takom niskom nivo (kulture = budalastinja,znanja=postovi u kojem nema stvarnih argumenata) izaziva.
Pristupio sam ovom Forumu u nadi da ce se na ovom mijestu govoriti o nekim Temama na mnogo vecem nivou,sto izgleda da nije bas sasvim tacno,tako da bas nemam puno volje na ovakav nacin (poput diskusija sa nekompetetnim strucnjacima koji se uvrijedi kada se konfrotira sa sopstvenim neznajem i jos postane drzak,ili drugi koji se uzivljuju u ulogu Moderatora i nesto kao prijete…opustise malo Ice OK)
pozdrav
Ima nas na ovom forumu koji nismo nacionalni ni internacionalni certificirani stručnjaci za 13 godina iskustva. Da bi neko diskutovao, ne treba biti stručnjak.
P.S. die7. razlike u mišljenjima postoje od kada postoji i mišljenje. Ne treba se baš toliko uzbuđivati zbog toga.