Re: OpenVPN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2002 ml@sikurezza.org
Soggetto: Re: OpenVPN
Mittente: Sun Quest foo
Data: 30 Sep 2002 11:17:46 -0000

On Sat, Sep 28, 2002 at 05:16:06PM +0200, Qlo wrote:
> Salve, ho provato questo software per tunnel crifrati con OpenSSL, il 
> tutto usando solo una porta UDP, con il vantaggio che queste vpn funzionino 
> d'ovunque.

Sto rinfanciullendo, oppure "questo software", QUALE?

Cmq esistono diversi client che fanno connessioni IpSEC over UDP, i +
famosi ed attualmente utilizzati sono VPN-Client CISCO ed il
Secure-Client FW-1. A Dovere di cronaca ne esistono molti altri, sempre
commerciali, ma si divino le briciole di quello che lasciano i due
colossi.

> Creare queste VPN host-to-host lan-to-lan etc.. è molto semplice.

Ed anche molto piu' insicuro se vogliamo. Solitamente ogni macchina che
necessita di connessioni verso un altra LAN/WAN, va isolata dal contesto
della rete di appartenenza in aree "protette", DMZ, per evitare che una
sua eventuale compromissione, possa NON essere letale per il resto della
rete. In un architettura standart in cui si usa IPSec, io tendo a
mantenere un Firewall su front-end, su cui alzare i/il tunnel secondo il
grado di sicurezza richiesto dai clienti stessi, e mantenere la/e
macchina/e che devono fare la connessioni verso il cliente separate
dalla lan aziendale. Un client che permette di creare Tunnel a
piacimento anche attravero i PAT potrebbero compromettere l'intera
architettura di rete.
Certo, e' possibile prendere degli accorgimenti, come per controllare
che durante le sessioni del "tunnelling" la macchina non comunichi con
la rete locale. Ma ipotiziamo che durante una sessione di tunnelling la
macchina si prenda un worm (esempi banale): quando la transazione VPN sara' 
finita nulla impedira' al worm di espandersi sulla rete locale a cui la
macchina sara' ricollegata.

> Ora dato che non sono un esperto in security, vorrei sapere se qualcuno ha 
> provato questo prodotto e se è valido, più che altro se il bilancio rispetto 
> a FreeSwan/IPsec pende per un + o -.

"questo prodotto" quale? (2). Cmq in linea di principio bisognerebbe
esaminare primadi tutto gli algoritmi utilizzati poi il metodo di
scambio delle chiavi ecc ecc.

prosit 
quest

PGP signature

In risposta a:
- OpenVPN, Qlo

Data:
- precedente: Correzzzione URL Re: Autenticazione e wireless, Lonely Wolf
- successivo: Re: Syslog Centralizzato, con Windows come si fa?, =?iso-8859-15?q?Ste_\=28mustafa=AE\=29?=
- indice

Argomento:
- precedente: OpenVPN, Qlo
- successivo: Re: OpenVPN, antirez
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005