Re: VPN e XP

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2002 ml@sikurezza.org
Soggetto: Re: VPN e XP
Mittente: Fabio Pietrosanti (naif)
Data: 22 Nov 2002 21:56:21 -0000

Per ovviare ai problemi relativi alle incompatibilita' con la NAT di
protocolli utilizzati per effettuare VPN widely used come IPSec ( ESP = proto
50, AH = proto 51 ) e PPTP ( 1724/TCP + GRE = proto 47 )  sono state proposte
alcune soluzioni.

Nello specifico per IPSec ci sono delle proposte di incapsulare IPSec
all'interno di pacchetti udp, consentendo cosi' al dispositivo che sul
frontend effettua la NAT di gestire tale connessione inserendola nella sua
connection table .

I riferimenti si trovano qui:
http://www.ietf.org/internet-drafts/draft-ietf-ipsec-udp-encaps-01.txt
http://www.ietf.org/internet-drafts/draft-ietf-ipsec-udp-encaps-justification-00.txt
http://www.ietf.org/internet-drafts/draft-ietf-ipsec-nat-t-ike-01.txt

A quanto ne so' FreeS/WAN non implementa tale soluzione mentre alcuni vendor
quali Cisco ( per ora solo con i vpn concentrator ma se non sbaglio presto
anche con PIX, misi confermi? ) e Checkpoint ( con FW-1/VPN-1 NG ) hanno gia'
implementato tali soluzioni ( che ho testato con successo sia tra client mobili
che tra peer fissi ) ma che non so' se siano interoperabili fra loro .

Intanto sono nate una moltitudine di soluzioni VPN NAT-aware implementati in
soluzioni come il classico "pppd over ssh", vtun ( vtun.sf.net ) e OpenVPN
( openvpn.sf.net, che uso personalmente ed e' molto stabile e performante
oltre che molto sicuro grazie all'autenticazione bidirezionale con certificati
digitali ) che nascono nel mondo opensource e purtroppo rimangono la
maggioranza delle volte in questo mondo ( ovvero se hai un peer Windows non li usi ) .

Un'alternativa opensource che garantisca l'interoperabilita' fra il mondo
microsoft e il mondo *nix e' rappresentata da CIPE ( Crypto IP Encapsulation )
che usa udp come protocollo e non ha quindi problemi con la NAT ed e' a
disposizione anche per Windows ( XP purtroppo in fase di sviluppo ) .

CIPE: http://sites.inka.de/sites/bigred/devel/cipe.html
CIPE x win32: http://cipe-win32.sourceforge.net/

Saluti

On Sat, Nov 16, 2002 at 08:35:18PM +0100, Igor Falcomata' wrote:
[snip]
> e' possibile collegare in VPN due LAN che si connettono ad internet 
> tramite ad es. fastweb???
>  tenete presente che si tratta di macchine win XP e che non hanno ip fisso.
> Se si , si realizza con qualcosa di aggiuntivo all'XP???!??! ho dato 
> uno sguardo ma non ho trovato niente che mi chiarisca la situazione.
[snip]

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@blackhats.it - naif@sikurezza.org - naif@s0ftpj.org
PGP Key (DSS) http://www.s0ftpj.org/misc/naif.asc
--
Ethical Hacking is not a joke - http://www.blackhats.it/
--

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: VPN e XP, Luigi Mori

In risposta a:
- VPN e XP, Igor Falcomata'

Data:
- precedente: =?iso-8859-15?b?UmU6IE5vdml04CBpbiBlZGljb2xhLi4uc2kgc2FsdmkgY2hpIHB18g==?=, Francesco Trentini
- successivo: Re: Novit\340 in edicola...si salvi chi pu\362, Igor Falcomata'
- indice

Argomento:
- precedente: Re: VPN e XP, Luigi Mori
- successivo: Re: VPN e XP, Luigi Mori
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005