Comments 21
Хорошая статья, спасибо! Еще хотелось бы увидеть хотя бы небольшое описание таких терминов как Cisco IPsec и IKEv2. Потому что в русском варианте о них информации мало.
Интересно было бы почитать о применении tinc в аналогичных случаях.
Вопрос по PPTP при mschap2, на который не получается найти однозначный ответ — уязвим ли он при использовании сложного цифро-буквенного пароля с разным регистром длиной 32 символа, к примеру? На каждом углу говорят о небезопасности протокола, но что конкретно имеется в виду — незащищённость слабых паролей, или он в принципе уязвим даже при сложном пароле? Хотелось бы услышать именно факты, а не догадки.
на который не получается найти однозначный ответ
А ищете как? Гугл по запросу "PPTP mschapv2 vulnerability" выдает вагон ссылок с однозначным ответом — принципиальная уязвимость протокола.
Вы можете указать конкретную статью с тех. подробностями этого однозначного ответа? Например по вашему запросу в гугле есть такие статьи:
1) www.securitylab.ru/analytics/428488.php
2) samag.ru/archive/article/1752
И предлагается использование ключей 2048 бит как надёжное, что говорит о том, что сложность пароля решает проблему.
1) www.securitylab.ru/analytics/428488.php
решил пойти на генерацию для своих пользователей равномерно случайных 21-символьных паролей, не давая им возможности выбирать свои собственные пароли, чтобы гарантировать безопасность развертывания PPTP VPN-сервиса
2) samag.ru/archive/article/1752
Ведь редкий пользователь установит себе пароль типа «3hEML@4rj897#KJK$$», его будет сложновато запомнить
И предлагается использование ключей 2048 бит как надёжное, что говорит о том, что сложность пароля решает проблему.
Да вот хотя бы по той ссылке, которую вы привели первой, все и описано (насколько я вижу, это перевод оригинального доклада, который окончательно похоронил PPTP-MSCHAPv2). Как вы сделали из нее вывод, что сложность пароля решает проблему, я не знаю, потому что там написано прямо противоположное.
Вторая ссылка 2007 года. Если уязвимость раскрыта в 2012, чем вам может помочь статья 2007-го?
И предлагается использование ключей 2048 бит
Скорее всего там про EAP-MS-CHAP v2. С ним никаких проблем, там обычный MS-CHAP v2 инкапсулируется в TLS.
Точности ради
Открываем закон
Сокращаем
Владельцам информационно-телекоммуникационных сетей, информационных ресурсов… запрещается предоставлять возможность… для получения доступа к информационным ресурсам… доступ к которым ограничен
Тоесть:
— Запрета VPN нет, есть запрет на доступ к запрещенным ресурсам
— Запрет касается владельцев ресурсов, посредством которых идет обход. Частным пользователям запрета нет
в России начал действовать запрет на обход блокировок с помощью VPN
Открываем закон
Владельцам информационно-телекоммуникационных сетей, информационных ресурсов (сайт в сети «Интернет» и (или) страница сайта в сети «Интернет», информационная система, программа для электронных вычислительных машин), посредством которых обеспечивается доступ к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации в соответствии с настоящим Федеральным законом (далее также — владелец программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен), запрещается предоставлять возможность использования на территории Российской Федерации принадлежащих им информационно-телекоммуникационных сетей и информационных ресурсов для получения доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации в соответствии с настоящим Федеральным законом.
Сокращаем
Владельцам информационно-телекоммуникационных сетей, информационных ресурсов… запрещается предоставлять возможность… для получения доступа к информационным ресурсам… доступ к которым ограничен
Тоесть:
— Запрета VPN нет, есть запрет на доступ к запрещенным ресурсам
— Запрет касается владельцев ресурсов, посредством которых идет обход. Частным пользователям запрета нет
Представитель ведомства Вадим Ампелонский заявил, что закон требует от анонимайзеров отфильтровать запрещенные сайты, при этом сами анонимайзеры при этом не запрещены.линк
Закон, вступающий в силу с 1 ноября 2017 года, не содержит в себе оснований для блокировки домашнего интернета при осуществлении поиска запрещенных сайтов.линк
Нормы нового закона не будут распространяться на операторов государственных информационных систем, госорганы и органы местного самоуправления, а также на случаи использования анонимайзеров при условии, что круг их пользователей заранее определен владельцами и их применение происходит в «технологических целях обеспечения деятельности лица, осуществляющего использование».
И ни слова про SoftEther VPN, который при всех достоинствах практически лишён недостатков.
Однако SSTP использует SSL 3.0, который уязвим для атаки POODLE
SSTP на Win10 и RouterOS умеет TLS 1.2 и в отличии от L2TP + IPSEC хорошо дружит с множеством клиентов за одним NAT IP адресом. Из минусов — работает поверх TCP, из-за чего можно поймать проблем на плохих каналов в топологии site2site.
Статья-то хорошая, да вот дать бы её прочитать сотрудникам провайдеров. У большинства из которых уже принудительное ipoe, во всяком случае билайн, мгтс и пр. наблюдаю. То есть речь о том что не только не производятся улучшения в сфере защиты кабеля до абонента, а вовсе даже наоборот- провайдерами снимаются практически все преграды для злоумышленников на «последней миле». «Врежется» на пять минут в ваш интернет-кабель сосед вася-ольгинец, которому что-то в вас не понравилось, а отвечать по всей строгости будете вы в свете «закона яровой». Впрочем может для того все и делалось.
А им проблемы клиента неважны. Им важен биллинг, и важна легкость обслуживания. А чего бы вы от них хотели, стойкого крипто (чтобы на их стороне тысячи каналов до клиентов чем-то шифровать?), и добавления оверхеда в канал связи (вы же понимаете, что любая инкапсуляция небесплатна — тот же PPPoE добавляет что-то процентов 13, или, если наоборот, от обещанных вам, скажем, 100 Мбит вы 13 тратите на работу PPPoE, но платите за все 100)?
Пользуясь случаем, хочется желто-полосатому провайдеру передать привет за их l2tp схему подключения, где нужно цепляться к серверу, который определяется по имени через их же ДНС — ух как неприятно такое на железках небытового уровня настраивать! Вот что значит принятое раз идиотское (с точки зреняи пользователей) инженерное решение на стадии проектирования!
Пользуясь случаем, хочется желто-полосатому провайдеру передать привет за их l2tp схему подключения, где нужно цепляться к серверу, который определяется по имени через их же ДНС — ух как неприятно такое на железках небытового уровня настраивать! Вот что значит принятое раз идиотское (с точки зреняи пользователей) инженерное решение на стадии проектирования!
PPPoE применяется потому, что и PPTP и L2TP это по сути надстройка над PPPoE (во всех трех случаях для доставки payload до провайдера используется PPP внутри GRE, для установки соединения свои собственные протоколы с закрытой реализацией), а чем меньше надстроек и прозрачнее система тем она надежнее. Кроме того для работы PPTP и L2TP изначально требуется наличие сконфигурированного IP адреса и уверенность, что ничего не сломается после очередного несовместимого изменения протокола от MS (как это регулярно происходило с samba).
Можно еще добавить про новый shadowsocks. Он, правда, не для объединения сетей создан, но тоже очень интересная штука
плюсом OpenVPN можно считать регулярные аудиты
Вы путаете стандарт OpenVPN как таковой, и его конкретную реализацию. В том же Микротике есть встроенные клиент и сервер OpenVPN, реализующие не полный набор фич OpenVPN (но часто и это за радость), так вот так про аудиты у них ничего не слышно, конечно.
С SSTP своя петрушка — его (особенно сервера) вроде как нет ни на одной ОСи, кроме винды (и того же Микротика), что мешает распространению.
Sign up to leave a comment.
Немного о VPN: протоколы для удаленного доступа