I ett annat forum är det en diskussion kring IPsec.
Mitt intryck är att det inte är så där väldigt mycket
använt idag. Hur är det med folket här? Någon som
har titta på eller som har implementerad IPsec?
https://en.wikipedia.org/wiki/IPsec
IPsec, någon som har tittat eller implementerat?
Re: IPsec, någon som har tittat eller implementerat?
Ah, sorry... I den aktuella diskussionen gäller det server system
och server-till-server kommunikation.
När det gäller t.ex server/browser så finns det ju andra fungerande
funktioner som TLS idag. Där är nog IPsec alldeles för svårhanterligt.
och server-till-server kommunikation.
När det gäller t.ex server/browser så finns det ju andra fungerande
funktioner som TLS idag. Där är nog IPsec alldeles för svårhanterligt.
Re: IPsec, någon som har tittat eller implementerat?
Jahopp... 
Ett jäkla sätt att bara plocka bort ett helt OK inlägg
så vitt jag kunde bedöma...
Ett jäkla sätt att bara plocka bort ett helt OK inlägg
så vitt jag kunde bedöma...
Re: IPsec, någon som har tittat eller implementerat?
Det var detta som jag svarade på i mitt andra inlägg ovan:
alls som använder IPsec. IPsec implementeras på IP-stack nivå och krypterar all trafik mellan
två hostar, d.v.s även t.ex. vanlig okrypterad telnet, http eller liknande klartext protokoll.
Och för övrigt, det finns inga webbläsare som använder IPsec, det finns inga applikationerMenar du i inbyggda system? Spontant skulle jag känna att man får mycket mer
valuta för pengarna med one-time-pads på klienten och servern i en sån situation,
eftersom man ju per definition kontrollerar båda.
Annars används det ju mycket, t.ex. av webbläsarna vi skriver dessa meddelanden i.
alls som använder IPsec. IPsec implementeras på IP-stack nivå och krypterar all trafik mellan
två hostar, d.v.s även t.ex. vanlig okrypterad telnet, http eller liknande klartext protokoll.
Re: IPsec, någon som har tittat eller implementerat?
IPsec är vanligt bland företag för LAN-to-LAN (L2L) tunnel mellan huvudkontoret och alla andra kontor för företaget.
IPsec används även till vissa typer av klientvpn, tex Cisco VPN Client och Shrew Soft VPN Client.
Sen finns även L2TP/IPsec för klientvpn, där man kör en L2TP tunnel över IPsec.
Fördelen med L2TP/IPsec är dock att den finns inbyggd i många operativsystem (Windows, Mac, Android, Apple iOS)
Jag har satt upp alla ovanstående varianter på Cisco ASA.
IPsec L2L är den vanligaste att sätta upp då alla servrar brukar finnas på huvudkontoret så man sätter upp en IPsec L2L tunnel för varje branchoffice så de kan ansluta till servrarrna på huvudkontoret (för fillagring, active directory anslutning, WLAN controller, osv).
Har även satt upp IPsec L2L och L2TP/IPsec på Linux, IPsec L2L för anslutning mellan hemmet och mina servrar på andra ställen, samt L2TP/IPsec för att smidigt kunna ansluta hem från laptopen.
IPsec används även till vissa typer av klientvpn, tex Cisco VPN Client och Shrew Soft VPN Client.
Sen finns även L2TP/IPsec för klientvpn, där man kör en L2TP tunnel över IPsec.
Fördelen med L2TP/IPsec är dock att den finns inbyggd i många operativsystem (Windows, Mac, Android, Apple iOS)
Jag har satt upp alla ovanstående varianter på Cisco ASA.
IPsec L2L är den vanligaste att sätta upp då alla servrar brukar finnas på huvudkontoret så man sätter upp en IPsec L2L tunnel för varje branchoffice så de kan ansluta till servrarrna på huvudkontoret (för fillagring, active directory anslutning, WLAN controller, osv).
Har även satt upp IPsec L2L och L2TP/IPsec på Linux, IPsec L2L för anslutning mellan hemmet och mina servrar på andra ställen, samt L2TP/IPsec för att smidigt kunna ansluta hem från laptopen.
Re: IPsec, någon som har tittat eller implementerat?
Ja, det stämmer ju att IPsec kan användas dels för att "bara" kryptera
en host-2-host förbindelse, och det var just det jag tänkte på, skulle
kunnat sagt det också...
VPN är det andra sättet att använda IPsec, men det var inte det jag
primärt tänkte på. Däremot kanske det är det vanligaste idag (?).
Om jag förstår IPsec L2L rätt så är det något som sker mellan routers
eller brandväggar), inget som körs eller sker i varje server. För de berörda
servrarna så blir det inget skillnad, konfigurationsmässigt (?).
Så mitt intresse vad alltså IPsec server-2-server, inget VPN...
en host-2-host förbindelse, och det var just det jag tänkte på, skulle
kunnat sagt det också...
VPN är det andra sättet att använda IPsec, men det var inte det jag
primärt tänkte på. Däremot kanske det är det vanligaste idag (?).
Om jag förstår IPsec L2L rätt så är det något som sker mellan routers
eller brandväggar), inget som körs eller sker i varje server. För de berörda
servrarna så blir det inget skillnad, konfigurationsmässigt (?).
Så mitt intresse vad alltså IPsec server-2-server, inget VPN...
Re: IPsec, någon som har tittat eller implementerat?
Du tänkte så.
Jo, det är vanligast att använda den som VPN.
L2L blir bara som att man anslutit ihop de båda nätverken, så stämmer bra att det inte blir nån skillnad konfigurationsmässigt.
Att köra IPsec direkt mellan två servrar är inte lika vanligt, men enda konfigurationsskillnaden då blir att man konfigurerar IPsec direkt i operativsystemet istället för routern.
Till servrar som endast har en extern IP (dvs utan att ha anslutning till nåt LAN) kör jag typ en Host2LAN variant istället för L2L, där trafik mellan hemmaLAN och externt ip på servern krypteras.
Jag har ett ställe som jag kör IPsec host2host på, och det är för att kryptera RADIUS kommunikation över ett osäkert nät.
Jo, det är vanligast att använda den som VPN.
L2L blir bara som att man anslutit ihop de båda nätverken, så stämmer bra att det inte blir nån skillnad konfigurationsmässigt.
Att köra IPsec direkt mellan två servrar är inte lika vanligt, men enda konfigurationsskillnaden då blir att man konfigurerar IPsec direkt i operativsystemet istället för routern.
Till servrar som endast har en extern IP (dvs utan att ha anslutning till nåt LAN) kör jag typ en Host2LAN variant istället för L2L, där trafik mellan hemmaLAN och externt ip på servern krypteras.
Jag har ett ställe som jag kör IPsec host2host på, och det är för att kryptera RADIUS kommunikation över ett osäkert nät.
Re: IPsec, någon som har tittat eller implementerat?
Ja, jag tänkte så...
Hela frågan handlar om IPsec på OpenVMS. Det finns en diskussion läsbar på "Google groups":
https://groups.google.com/forum/#!topic ... SDdv_RKiy0
Det var därför som jag var lite nyfiken på hur många här som har jobbat
med IPsec praktiskt, speciellt när det gäller server-till-server. Inte för VPN.
Min tolkning så här långt är att IPsec server-till-server inte är speciellt utspritt.
Vad gör man istället om man vill skydda sina server-till-server kommunikation?
Är det bara FTPS istället för FTP, SSH istället för TELNET, SMTP med TLS o.s.v?
D.v.s att varje applikation själv står för krypteringen istället för att det sker
på IP nivå generellt. Jag inser problemet med att man måste sätta upp en
IPsec konfiguration specifikt för varje par av hostar som vill kommunicera
och det är väl det som har gjort att det inte är lika populärt...
Hela frågan handlar om IPsec på OpenVMS. Det finns en diskussion läsbar på "Google groups":
https://groups.google.com/forum/#!topic ... SDdv_RKiy0
Det var därför som jag var lite nyfiken på hur många här som har jobbat
med IPsec praktiskt, speciellt när det gäller server-till-server. Inte för VPN.
Min tolkning så här långt är att IPsec server-till-server inte är speciellt utspritt.
Vad gör man istället om man vill skydda sina server-till-server kommunikation?
Är det bara FTPS istället för FTP, SSH istället för TELNET, SMTP med TLS o.s.v?
D.v.s att varje applikation själv står för krypteringen istället för att det sker
på IP nivå generellt. Jag inser problemet med att man måste sätta upp en
IPsec konfiguration specifikt för varje par av hostar som vill kommunicera
och det är väl det som har gjort att det inte är lika populärt...
Re: IPsec, någon som har tittat eller implementerat?
För host to host använder man nästan alltid någon form av ssl
Rsync över ssh
Ftps
Smtp med ssl/tsk
Https
Osv osv
Ipsec var och är ju fortfarande väldigt vanligt för vpn men openvpn börja bli mer och mer populärt.
Rsync över ssh
Ftps
Smtp med ssl/tsk
Https
Osv osv
Ipsec var och är ju fortfarande väldigt vanligt för vpn men openvpn börja bli mer och mer populärt.
Re: IPsec, någon som har tittat eller implementerat?
OK, som jag misstänker...
Den aktuella diskussionen är specifikt för host-to-host och specifikt kring användning av IPsec.
Hela tanken är ju att man "kör som vanligt" man att IP länken man kör över ändå är krypterad.
D.v.s utan att behöva "belasta" de olika applikationerna med SSL funktionerna.
Intressant att höra lite andra synpunkter. Verkar som att IPsec inte är speciellt spritt.
Den aktuella diskussionen är specifikt för host-to-host och specifikt kring användning av IPsec.
Hela tanken är ju att man "kör som vanligt" man att IP länken man kör över ändå är krypterad.
D.v.s utan att behöva "belasta" de olika applikationerna med SSL funktionerna.
Intressant att höra lite andra synpunkter. Verkar som att IPsec inte är speciellt spritt.
Re: IPsec, någon som har tittat eller implementerat?
Nej IPSec-IPSec för enskild trafik är lite sällsynt av olika skäl:
1. Man har oftast en firewall som sköter det där.
2. Har man olika OS/Mjukvara på olika sidorna så kan det bete sig mycket oönskat.
3. Båda parterna måste ha en överenskommen konfiguration.
Problemet är att man tappar ju port-nummert (när man enkapsulerar som ESP), och då omöjliggör NAT i princip. En IPSec policy kan endast diktera IP Protokoll-nummert som ska krypteras (t.ex GRE, IP-IP, etc.) Men har du två servers, med publika IP, som ska utbyta *all* kommunikation med IPSec, så visst går det.
TLS/SSL är svaret för per protokoll server-klient/server-server kommunikation, utan någon särskild konfiguration. IPSec blir för nätverk-nätverk.
1. Man har oftast en firewall som sköter det där.
2. Har man olika OS/Mjukvara på olika sidorna så kan det bete sig mycket oönskat.
3. Båda parterna måste ha en överenskommen konfiguration.
Problemet är att man tappar ju port-nummert (när man enkapsulerar som ESP), och då omöjliggör NAT i princip. En IPSec policy kan endast diktera IP Protokoll-nummert som ska krypteras (t.ex GRE, IP-IP, etc.) Men har du två servers, med publika IP, som ska utbyta *all* kommunikation med IPSec, så visst går det.
TLS/SSL är svaret för per protokoll server-klient/server-server kommunikation, utan någon särskild konfiguration. IPSec blir för nätverk-nätverk.
Re: IPsec, någon som har tittat eller implementerat?
Jo, jag håller med. Men det finns de som förordrar IPsec för server-server också.
Se t.ex tråden på comp.os.vms som jag länkade till
https://groups.google.com/forum/#!topic ... SDdv_RKiy0
> 1. Man har oftast en firewall som sköter det där.
Sällan inom ett data center eller inom ett lokalt nätverk.
> 2. Har man olika OS/Mjukvara på olika sidorna så kan det bete sig mycket oönskat.
Ja, det skulle kanske kunna vara struligt. Diskussionen jag länkade till ovan
gäller i och för sig enbart "specialfallet" OpenVMS-OpenVMS. Och det är
väl också en av synpunkterna i den diskussionen, att just det är ett ovanligt
specialfall...
> 3. Båda parterna måste ha en överenskommen konfiguration.
Om du med konfiguration menar utbyta av nycklar o.s.v., så ja så är det ju.
Det som talar för en lösning som IPsec, där krypteringen flyttas ner från
applikationerna till IP stacken, är att man slipper mycket av strulet kring
att bygga applikationer mot rätt SSL version och att (t.ex.) OpenSSL
kommer med nya API'er som inte är kompatibla o.s.v.
Sen så kan man ju råka ut för att även IPsec kommer med nya versioner
och då gäller det att båda sidor koordinerar och uppgraderar i synk...
Se t.ex tråden på comp.os.vms som jag länkade till
https://groups.google.com/forum/#!topic ... SDdv_RKiy0
> 1. Man har oftast en firewall som sköter det där.
Sällan inom ett data center eller inom ett lokalt nätverk.
> 2. Har man olika OS/Mjukvara på olika sidorna så kan det bete sig mycket oönskat.
Ja, det skulle kanske kunna vara struligt. Diskussionen jag länkade till ovan
gäller i och för sig enbart "specialfallet" OpenVMS-OpenVMS.
Och det ärväl också en av synpunkterna i den diskussionen, att just det är ett ovanligt
specialfall...
> 3. Båda parterna måste ha en överenskommen konfiguration.
Om du med konfiguration menar utbyta av nycklar o.s.v., så ja så är det ju.
Det som talar för en lösning som IPsec, där krypteringen flyttas ner från
applikationerna till IP stacken, är att man slipper mycket av strulet kring
att bygga applikationer mot rätt SSL version och att (t.ex.) OpenSSL
kommer med nya API'er som inte är kompatibla o.s.v.
Sen så kan man ju råka ut för att även IPsec kommer med nya versioner
och då gäller det att båda sidor koordinerar och uppgraderar i synk...
Re: IPsec, någon som har tittat eller implementerat?
Inom IT-säkerhetskretsar divideras det en del om säkerhet på insidan. Att t.ex någon inte ska kunna "ta över" en switch/router på vägen och så pass kunna ta del av oskyddad HTTP eller databastrafik.
Syntaxen påminner lite om Racoon, vilket jag skrev en liten HowTo för ett tag sen.
Självklart går det att sätta upp en IPSec policy som fixar endast trafik mellan A och B eller C, men inte allt. Så man inte riskerar att låsa sig ute helt.
Syntaxen påminner lite om Racoon, vilket jag skrev en liten HowTo för ett tag sen.
Självklart går det att sätta upp en IPSec policy som fixar endast trafik mellan A och B eller C, men inte allt. Så man inte riskerar att låsa sig ute helt.
Re: IPsec, någon som har tittat eller implementerat?
IPsec kan vara väldigt svårt att få att fungera. Lättas är att ha en gigantisk budget och många konsulter.
Firewalls av samma tillverkar kan ha svårt att kommunicera med varandra. Helpdesk / support frågar spontant om "har ni testat att köpa nya firewalls på alla lokationer?"
Visst, bara några miljoner extra.
Firewalls av samma tillverkar kan ha svårt att kommunicera med varandra. Helpdesk / support frågar spontant om "har ni testat att köpa nya firewalls på alla lokationer?"
Visst, bara några miljoner extra.Re: IPsec, någon som har tittat eller implementerat?
Ja, det känns som att IPsec spelar lite i samma liga som OSI,
väldigt snyggt "på pappret" men frånåkt av enklare lösningar
som TCP/IP (i fallet med OSI) eller t.ex. SSL (för IPsec).
> IPsec kan vara väldigt svårt att få att fungera.
I enkla server-server fall (speciellt om det är samma OS och TCP stackar,
och inom samma "data center") så verkar det inte allt för komplicerat.
Men som generell lösning ser det svårare ut. En anledning till att det förs
fram i OpenVMS fallet är att den gamla nätverks lösningen DECnet saknar
kryptering. Det går att tunnla över TCPIP, men det är fortfarande klartext.
Om TCPIP gick över IPsec, så skulle även DECnet trafiken skyddas.
DECnet används fortfarande i många miljöer med OpenVMS p.g.a att
det ger en del fördelar jämfört med TCPIP, speciellt den mycket tätare
integreringen med operativsystemet. Node namn (motsvarar TCPIP's host)
är en del av fil specifikationen, så allt som man man göra med en lokal
fil kan man också göra mot en remote fil på ett annat system. Utan att
"koppla upp sig" först via NFS eller liknande.
Men OK, IPsec verkar inte speciellt spritt idag hur som helst.
väldigt snyggt "på pappret" men frånåkt av enklare lösningar
som TCP/IP (i fallet med OSI) eller t.ex. SSL (för IPsec).
> IPsec kan vara väldigt svårt att få att fungera.
I enkla server-server fall (speciellt om det är samma OS och TCP stackar,
och inom samma "data center") så verkar det inte allt för komplicerat.
Men som generell lösning ser det svårare ut. En anledning till att det förs
fram i OpenVMS fallet är att den gamla nätverks lösningen DECnet saknar
kryptering. Det går att tunnla över TCPIP, men det är fortfarande klartext.
Om TCPIP gick över IPsec, så skulle även DECnet trafiken skyddas.
DECnet används fortfarande i många miljöer med OpenVMS p.g.a att
det ger en del fördelar jämfört med TCPIP, speciellt den mycket tätare
integreringen med operativsystemet. Node namn (motsvarar TCPIP's host)
är en del av fil specifikationen, så allt som man man göra med en lokal
fil kan man också göra mot en remote fil på ett annat system. Utan att
"koppla upp sig" först via NFS eller liknande.
Men OK, IPsec verkar inte speciellt spritt idag hur som helst.
