การเลือกโปรแกรม VPN - Type สำหรับ Mathnet


การเลือกโปรแกรม VPN - Type สำหรับ Mathnet

เจมส์ F. คาร์เตอร์ , UCLA - Mathnet, 2003/09/26

ความต้องการ

  • ผู้ใช้สามารถเชื่อมต่อจากสถานที่นอกมหาวิทยาลัยโดยพลการไปยังสถานี VPN (เครื่อง) ใน DMZ ของเรา ปัจจุบัน Harlech เป็นเจ้าภาพป้อมปราการที่กำหนด เราไม่ต้องการให้ผู้ใช้เปลือก acounts เกี่ยวกับ Harlech (เชื่อมต่อโดยตรงไปยังเครื่องภายในจะถูกโดยเฉพาะ SSH.)
  • การเชื่อมต่อ VPN ควรจะได้รับอนุญาตเท่านั้นสำหรับคนที่"มีอำนาจ"ซึ่งโดยทั่วไปหมายถึงทุกคนที่มี loginid Mathnet ที่ถูกต้อง
  • เครื่องภายในควรให้บริการแก่ผู้ใช้ VPN เกินกว่าสิ่งที่พวกเขาให้ไปที่อินเทอร์เน็ตทั่วโลก (พวกเขากำลังถูกปิดกั้นโดยสิ้นเชิง) แต่อาจจะน้อยกว่าพวกเขาให้ไปยังเครื่องภายในที่เกิดขึ้นจริง นี้เป็นส่วนใหญ่การทำงานของกฎไฟร์วอลล์ภายใน
  • ผู้ใช้ VPN ควรจะสามารถไปยังเส้นทางไปยังเว็บไซต์ที่นอกมหาวิทยาลัยและได้รับการ NAT (แปลที่อยู่เครือข่าย) ที่สถานี VPN เพื่อการเชื่อมต่อจะปรากฏขึ้นมาจากเครื่องที่ UCLA - Mathnet นี้เป็นสำหรับการเข้าถึงเว็บไปที่เนื้อหาได้รับใบอนุญาตการป้องกันโดยการตรวจสอบตามโฮสต์ (ตัวอย่าง :. AMS วารสารออนไลน์) อีกครั้งนี้เป็นหน้าที่ของกฎไฟร์วอลล์และเส้นทาง
  • การเชื่อมต่อ VPN ควรจะเข้ารหัส
  • การปกครองที่เราจะไม่ได้ไปกำหนดค่าอุโมงค์เป็นรายบุคคลสำหรับผู้ใช้แต่ละ; มันมีการทำงานบนพื้นฐานทั่วไป
  • มีจะต้องมีลูกค้าสำหรับ Linux, Windows, Mac และควร พวกเขาต้องทำงานผ่าน NAT กล่อง
  • Pre - มอบหมายให้ที่อยู่ IP ที่ไม่เป็นไปได้; ซอฟต์แวร์ที่ต้องให้แน่ใจว่าแต่ละคนมีอุโมงค์ที่อยู่ IP ที่ไม่ซ้ำกันจากระยะไกล เครื่องหลังกล่อง NAT จะถูกกำหนดโดยปกติ 192.168.1.1 หรือ 192.168.1.100, ขึ้นอยู่กับยี่ห้อของกล่อง NAT และเพื่อให้ประชาชน IP ของไคลเอ็นต์มีแนวโน้มที่จะไม่ซ้ำกัน; จึง IP อุโมงค์ที่มีให้มาจากซอฟต์แวร์ VPN ไม่ได้รับเลือกโดยลูกค้า
  • ส่วนใหญ่ผลิตภัณฑ์ VPN มีไว้สำหรับเส้นทางแบบคงที่ระหว่างที่ disjoint subnets, เว็บไซต์ บริษัท เช่นในเมืองต่างๆ สำหรับของเราใช้ IP ที่ระยะไกลจะไม่สามารถคาดเดาได้และอุโมงค์มาและไปแบบสุ่ม -- ที่"Road Warrior"สถานการณ์

ผู้สมัครโปรแกรม VPN

ปัญหาอิสระ / WANvtuncipeOpenVPNPoPToP
โปรโตคอลIPSec (ESP, AH)ของตัวเองของตัวเองTLS + ของตัวเองPPTP (GRE)
การเข้ารหัสลับยอดเยี่ยมอ่อนแอ (3)อ่อนแอ (3)ยอดเยี่ยมดู (7)
การอนุญาตX.509 (4)kludge SSHคีย์แบบคงที่X.509ของ Windows
  (คีย์ Pre - จัดยังทำงานสำหรับโปรแกรมส่วนใหญ่)
เฉพาะกิจผู้ใช้ใช่kludge (1)ไม่มีใช่ (8)ใช่
ทนทานต่อการชนกันของ IPไม่มีkludge (1)ไม่มีใช่ (8)ใช่
สำหรับลูกค้า :L, W, M (2)L, SL, WL, S, W, MXL, S, W (6)
  (L = ลินุกซ์, S = Solaris, W = Windows, M = Mac)
ทำงานผ่าน NATแพทช์ (4)ใช่ใช่ใช่ใช่
เราใช้นานเท่าไหร่?1 ปี0.5 ปีไม่0.1 ปีไม่
ที่ถูกบล็อกโดย BOLทำงานการทำงาน (SSH)prob ที่ถูกบล็อกขอยกเลิกการปิดกั้นอาจจะทำงาน
พร้อมกับ SuSEใช่ใช่ใช่ใช่ (8)ไม่มี
ลิ้งค์ปกติ, 
ซูเปอร์
vtuncipeOpenVPNpoptop
คุณสมบัติที่ดีที่ได้รับความน่าเชื่อถือที่เชื่อถือได้ (มี 1 ผู้ใช้)สุทธิฉวัดเฉวียนหินแข็ง, การติดตั้งง่ายไมโครซอฟท์จะใช้มัน
คุณสมบัติที่ไม่ดียากที่จะตั้งขึ้น โรคอุจจาระร่วงของล็อกไฟล์ต้องใช้สคริปต์ kludge TCP วิกฤต (5) บัญชีเชลล์ในพื้นที่ป้อมปราการไม่มีโหมด Ad - hocไม่มี (8)ไมโครซอฟท์จะใช้มัน
  1. สำหรับ vtun ผู้ใช้แต่ละคนจะต้อง preassigned ที่อยู่ IP สำหรับอุโมงค์ สคริปต์ได้รับการเขียนแบบไดนามิกกำหนดที่อยู่เหล่านี้เมื่อเริ่มต้นการเชื่อม แต่มัน kludge
  2. การดำเนินการใด ๆ IPSec ควรจะสามารถพูดคุยกับอิสระ / WAN และการทดสอบที่ประสบความสำเร็จ interoperation เป็นที่กว้างขวาง ว่ากันว่า Windows XP สามารถทำเช่นนี้ natively เคอร์เนลโมดูลที่จำเป็นและฉันไม่ทราบว่าสามารถใช้ได้สำหรับ Solaris หรือ Mac OS - X หรือไม่ว่าจะทำงานร่วมกับระบบ UNIX ที่ไม่ใช่ของ MAC OS : มีลูกค้า IPsec ในเชิงพาณิชย์สำหรับ Mac OS - X คือ VPN ติดตามโดย Equinux .
  3. Vtun ใช้อัลกอริธึมการเข้ารหัสลับ (ปักเป้า) จากห้องสมุด SSL แต่ไม่ได้ใช้ SSL เต็มเป่าในการเข้ารหัสช่องทาง มีเพิ่งได้รับการอภิปรายในรายการจดหมาย vtun เกี่ยวกับความอ่อนแอในวิธีการที่เวกเตอร์เริ่มต้นที่จะเลือก(ปัญหาที่คล้ายกันนำไปสู่​​การใช้ประโยชน์กับ 802.11b WEP.) กับปัญหาเดิมมีการกล่าวถึงนำไปใช้กับ cipe
  4. การพัฒนาอิสระ / WAN แบ่งออกเป็นสองสาขา :"บริสุทธิ์"อิสระ / WAN (ซึ่งเป้าหมายทางการเมืองที่มีความสำคัญที่จำเป็นต้องใช้โค้ดที่อาจจะมีข้อ จำกัด ในการส่งออกประเทศสหรัฐอเมริกาที่จะหลีกเลี่ยง), และ"Super"อิสระ / WAN ซึ่งมีแพทช์ สำหรับ (ในหมู่สิ่งอื่น ๆ ) การแลกเปลี่ยนคีย์ X.509 และการตรวจสอบและ NAT traversal แพทช์ NAT เป็นปัจจุบันใน SuSE Linux 8.2 แต่โชคร้ายที่มีความขัดแย้งทางด้านเทคนิคในชุมชนเคอร์เนลเพื่อให้ผู้พิพากษา SuSE มันไม่ฉลาดที่จะนำแพทช์ ESP - in - UDP ที่จำเป็นใน kernel หุ้น คุณจะต้อง recompile kernel ด้วยตัวคุณเองถ้าคุณต้องการมัน
  5. เมื่อ Tunneling TCP ใน TCP เช่นเดียวกับการขุดเจาะอุโมงค์ vtun (หรือสิ่งอื่น) มากกว่าการส่งต่อพอร์ต SSH เมื่อโหลดสูงพอที่จะทำให้แพ็กเก็ตที่ตายในการชนกันของทั้งสองชั้น TCP จะลองใหม่อีกครั้งและผลที่ได้จะเป็นเกินหนีหมายถึง ที่เป็นวิกฤตของ TCP . การดูแลเป็นพิเศษเป็นสิ่งจำเป็นเพื่อต่อต้านการนี้ซึ่ง SSH ไม่ได้ออกแบบสำหรับ สันนิษฐานระดับ kernel อุโมงค์ IP - in - IP ที่สามารถทำดีกว่า ดูที่ลิงค์นี้ สำหรับข้อมูลเพิ่มเติม
  6. ในขณะที่เป็น PoPToP สำหรับ UNIX, Windows (95 และต่อมา) รวมถึงลูกค้า PPTP พื้นเมืองที่ PoPToP interoperates HOWTO กล่าวถึงลูกค้า Mac แต่คุณจะต้องซื้อมัน
  7. ดูที่ลิงค์นี้ เพื่อวิพากษ์วิจารณ์การรักษาความปลอดภัยในการดำเนินการของ Microsoft PPTP ปัญหาไม่ได้การเข้ารหัสที่อ่อนแอ แต่การตรวจสอบอ่อนแอ ไมโครซอฟท์ได้นำออกใหม่โปรโตคอลการตรวจสอบการปรับปรุงที่ PoPToP interoperates กับ
  8. OpenVPN รุ่น 2.0beta $ N เพิ่งได้รับการปล่อยออกมาเราได้ติดตั้ง N = 5 ในรุ่นนี้เซิร์ฟเวอร์ที่มีสระว่ายน้ำของที่อยู่ IP ที่จะผลักดันให้กับลูกค้าที่ ที่อยู่ IP ของลูกค้าในท้องถิ่นที่ไม่ได้ใช้ โปรโตคอลเป็นภูมิคุ้มกันเพื่อ NAT รุ่น 1.x ต้องอุโมงค์แต่ละที่จะจัดแจงไว้ก่อนโดยใช้ที่อยู่ IP ของลูกค้า รวมถึง SuSE 9.1 - 1.6 OpenVPN ดังนั้นเรากระจาย RPM ของเราเอง 2.0

พูดคุยเพิ่มเติม

อิสระ / WAN
IPSec ถูกแบ่งออกเป็นสนับสนุน kernel สำหรับ AH และ ESP โปรโตคอล (พร้อมรหัส tunneling ที่เกี่ยวข้อง) และคีย์ (ISAKMP) daemon การกระจายอิสระ / WAN ให้เคอร์เนลโมดูลและ hacks SuSE 8.2 (kernel 2.4.20) รวมถึงเหล่านี้ (ยกเว้นเห็นข้างต้นเกี่ยวกับ ESP - in - UDP) IPSec เป็นหลักในขณะนี้ใน kernel เป็น 2.5 ภูต ISAKMP สำหรับอิสระ / WAN เรียกว่า"ดาวพลูโต" คนบอกว่าเป็นคู่แข่งที่"สัตว์คล้ายหมีเล็ก ๆ "(sic) เป็นเพียงที่ดีเป็นและง่ายต่อการตั้งค่า นักพัฒนาอิสระ / WAN จะไม่เห็นด้วย
vtun
ในขณะที่ vtun มีจำนวนของผู้ใช้และสมัครพรรคพวกเกี่ยวกับรายชื่อผู้รับจดหมายของนักพัฒนาที่อยู่ในเสร็จสิ้นโหมดและการตอบสนองต่อการรักษาความปลอดภัยการวิพากษ์วิจารณ์ดังกล่าวข้างต้นไม่ได้รับการรวดเร็ว สำหรับเราแล้วปัญหาที่ใหญ่ที่สุดกับ vtun เป็นโอกาสในการชนกันของ IP ระยะไกลซึ่งไม่สามารถจัดการ natively มันเป็นที่มุ่งหมายสำหรับใช้กับการเชื่อมต่อไว
cipe
เป็นที่กล่าวถึงมักจะเป็นคล้ายกับ vtun แต่ ดีขึ้นหรือมากขึ้นเหมาะกับความจริง sysadmins จะอธิบายโดยทั่วไปในบริบทของการเชื่อมต่อไว
OpenVPN
มันเป็นมักจะกล่าวถึงในบริบทของคุณจริงๆควรที่จะดูที่ OpenVPN . พวกเขากำลังถูกเราควรและจะ จะใช้ OpenSSL สำหรับ TLS การเข้ารหัสลับที่เกี่ยวกับช่องทางควบคุมป้องกันที่มีการเข้ารหัสช่องทางหลักผ่านทาง UDP และ TUN / TAP สำหรับขุดเจาะอุโมงค์ (หลักใน kernel ที่เขียนขึ้นสำหรับ vtun) สนับสนุน kernel ไม่มีอื่น ๆ เป็นสิ่งจำเป็น อ้างผลการดำเนินงาน : Pentium - 2 266 MHz, TLS/Blowfish/SHA1 ไฟล์ precompressed ขนาดใหญ่ที่อัตราการส่งข้อมูลคือ 1.455 Mby / วินาที ก็สามารถทำ chroot และ / หรือไม่ได้ทำงานเป็นรากและสามารถล็อคข้อมูลที่สำคัญในหน่วยความจำ รุ่น 1.x มีไว้สำหรับอุโมงค์จากจุดหนึ่งไปยังอีกจุดหนึ่งที่คงที่และจึงถูกออกแบบมาเพื่อมันจะต้องมีการกำหนดค่าส่วนบุคคลสำหรับผู้ใช้แต่ละ เวอร์ชัน 2.0 ประกอบด้วยRoad Warriorการตั้งค่าผู้ใช้หลายคนที่เราต้องการ
PoPToP
PPTP ได้รับการพัฒนาโดย Microsoft และเป็นปัจจุบัน natively ใน Windows ตั้งแต่ Win98 (แพทช์สำหรับ Win95) มันดูเหมือนถูกใช้โดยคนจำนวนมาก ถ้าเซสชัน PPTP มากกว่าหนึ่งจะต้องเข้าไปในกล่อง NAT เดียวกัน (ไม่ได้เป็นสถานการณ์ทั่วไป), มันต้องการการจัดการเป็นพิเศษ; iptables ลินุกซ์รวมถึงโมดูลช่วย PPTP Microsoft จะให้พนักงานของตนกับลูกค้า PPTP ซึ่งไม่เกินกว่าหนึ่งพื้นเมือง; มันสามารถใช้บัตรสมาร์ทสำหรับการตรวจสอบและปฏิเสธที่จะเชื่อมต่อจนกว่าเครื่องจะถึงวันที่แพทช์

สรุปผลการวิจัย

อิสระ / WAN (Super)
ซูเปอร์อิสระ / WAN มีจำนวนคุณสมบัติที่ดีมาก : Crypto เชื่อ; การกำหนดค่าฉันท์เดียวสามารถใช้บนเซิร์ฟเวอร์สำหรับอุโมงค์ทั้งหมดของผู้ใช้; การรักษาความปลอดภัยโดยอัตโนมัติสมาคมจัดตั้งขึ้นใหม่ถ้าแล็ปท็อปถูกระงับชั่วคราวและ reawakened; การตรวจสอบปลายทางคือ ทั้งที่มีประสิทธิภาพและมีความยืดหยุ่น เมื่อเร็ว ๆ นี้เคอร์เนล Harlech ถูกคอมไพล์กับ NAT traversal แพทช์ และที่คาดคะเนมัน interoperates กับ Win2k และ WinXP natively เว็บอินเตอร์เฟสในการผลิตที่เป็นใบรับรอง X.509 (still. .. ) ในการทดสอบเบต้า แมลงวันเท่านั้นที่เหลือในครีมที่มีในการกำหนดค่าเริ่มต้นในพื้นที่ห่างไกลจะใช้ที่อยู่ IP ที่สาธารณะ (192.168.1.100) เมื่อเชื่อมต่อระยะไกล งานวิจัยที่ได้ทำเพื่อเรียนรู้วิธีการกำหนดค่า WinXP สำหรับ IPSec และเป็นจริงทำงาน แต่ขั้นตอนจะน่ากลัวเพื่อที่จะดูไม่น่าเชื่อถือที่คาดหวังของผู้ใช้ที่จะทำมัน กว่าปีที่ Mathnet ใช้อิสระ / WAN เฉพาะเป็นวิธีการแก้ปัญหา VPN ของเรา แต่สำหรับในปัจจุบันให้ดูที่การอภิปรายของ OpenVPN ด้านล่าง
vtun
vtun พื้นเมืองต้องกำหนดค่าส่วนบุคคลของอุโมงค์ของลูกค้าแต่ละราย สคริปต์ได้ถูกสร้างขึ้นเพื่อ kludge ขึ้นกำหนดที่อยู่แบบไดนามิก ในขณะที่ประสบการณ์ของฉันกับ vtun เป็นสิ่งที่ดีผมกลัวว่ามันจะไม่แข็งแกร่งพอที่เราจะปรับใช้ในการผลิต
cipe
เพราะมันต้องตั้งค่าส่วนบุคคลของอุโมงค์ของลูกค้าแต่ละราย, cipe จะต้องมีการปฏิเสธ
OpenVPN
เราเป็นกำลังใจโดยรุ่น 1.x เพราะแต่ละคนมีอุโมงค์ที่จะกำหนดค่ารายบุคคล แต่เราได้พบว่า v2.0beta5 เป็นเรื่องง่ายที่จะตั้งค่าสำหรับลูกค้าทั่วไปและเซิร์ฟเวอร์ของเราและมีความน่าเชื่อถือโดยสิ้นเชิง ไคลเอ็นต์ของ Windows โดยเฉพาะอย่างยิ่งเป็นเลิศ Mathnet ได้ตัดสินเมื่อ OpenVPN เป็นไคลเอนต์ VPN ที่เราจะให้การสนับสนุนกับผู้ใช้ของเรา
PoPToP
PoPToP จะปรากฏขึ้นเพื่อให้การเข้ารหัสที่แข็งแกร่งและที่เคยเป็นโซลูชั่นเดียวที่ natively สามารถหลีกเลี่ยงการปะทะที่อยู่ IP ของลูกค้าระยะไกล (รุ่นใหม่ OpenVPN นอกจากนี้ยังสามารถทำเช่นนี้.) แต่การตรวจสอบจะกระทำผ่าน PPP, โดยเฉพาะการตรวจสอบไปยังตัวควบคุมโดเมนที่ใช้ Windows (ซึ่ง Mathnet ไม่ได้) สคริปเสริมที่กว้างขวางมีความจำเป็นที่ส่วนท้ายของเซิร์ฟเวอร์เพื่อให้การทำงานในการเชื่อมต่อเช่นการกรอกข้อมูลในตาราง ARP ด้วยตนเอง ดังนั้นจึงน่าเสียดายที่มี PoPToP ที่จะปฏิเสธ

0 comments:

Post a Comment

 

Pfsense Thailand Copyright © 2011-2012 | Powered by Blogger