Mikrotik като OpenVPN сървър за фирмени цели

[ddimitrov]

Ситуацията е следната. Фирма с офис, сървърно и всичко както си му е реда. На доста от потребителите се налага отдалечен достъп поради пътувания или работа от вкъщи в належащи моменти. Рутера е Mikrotik. Потребителите се закачат от служебни лаптопи или от домашни компютри. Нивото на сигурност трябва да е добро. Към момента с тестова цел съм дигнал OpenVPN на микротика, като за клиент използвам Securepoint VPN. Клиента ми допада, лесен за конфигуриране и не се налага да си администратор на машината за да го стартираш. Сертификата за няколкото тестови потребителя е един и същ, като се използва и идентификация с персонални пароли, който са с достатъчна сложност.

 

От тук идват въпросите ми:

1. Какви са рисковете при използване на един сертификат от всички потребителите + уникална парола?

2. Ако генерирам различни сертификати за всеки потребител колко ще се усложни администрацията?

3. Кой от двата варианта бихте предпочели и защо?

[gbdesign]

Аз ползвам същата комбинация. Да се генерира персонален сертификат е безсмислено. 

[Mihail Peltekov]

Аз може ли да започна по отдалече

 

1. Какви услуги ще се използват, че е необходимо изграждането на VPN. Нивото на сигурно рязко може да се срине с един заразен компютър през тунела.

2. Не е безмислено използване на персонален сертификат за всеки клиент. Ако беше така изобщо нямаше да бъде имплементирано. Може лесно да зададем статичен адрес за всеки VPN клиент.

3. Основния проблем на OpenVPN при Mikrotik,  е че не поддържа комуникация по UDP и отделно не поддръжа LZO compression.

4. Колко конкурентни клиента предполагаш, че може да имаш?

[ddimitrov]

1. Типовете потребители са два: единия тип използват за връзка домашните си компютри, като те след свързване на vpn-а вдигат RDP до служебния си компютър в офиса и работят на него. За тях даже ще ги огранича през firewall-а да немогат да правят друго освен това. Втория тип потребители използват служебни лаптопи. При тях реално достъпват всички услуги в мрежата - файл сървър, db сървъри, erp система и още куп други. Вътре във фирмената мрежа абсолютно всичко е изградено на добро ниво и абсолютно всяка услуга изисква идентификация. Няма никакъв ресурс, който да 'лети свободно'. Служебните лаптопи се контролират - антивирус без опции за изключване, потребителите не са администратори на машините.

2. В момента с тестовите акаунти съм ги пуснал с DHCP адресите за vpn клиентите. Статични адреси немога ли да им задам и на база потребител като са с един сертификат?

3. Трафика, който ще минава през клиентите не е голям. Идеята да ползвам openvpn е да минава през порт 443 на специално отделено IP за целта, така че да не се блокира от рутери при командировки и да може да се връзват от всякъде служебните лаптопи.

4. 20-25 едновременно свързани в пикови моменти.

[gbdesign]

IP адресите ги задавай в акаунтите. Не ти трябва толкова параноично ниво на сигурност, че да генерираш отделни сертификати, освен ако не си във финансова институция.

[Mihail Peltekov]

Добре.

Какъв хардуер използваш? Някои Routerboard или?

Ако случайно откраднат някои от преносимите компютри ще е необходимо на всички да бъде сменен сертификата А иначе просто се прави revoke.

[gbdesign]

"Ако случайно откраднат някои от преносимите компютри ще е необходимо на всички да бъде сменен сертификата"

 

По-скоро може да помогне за залавяне на крадеца. SSL се ползва за криптиране на връзката а реалната автентикация става с потребителско име и парола. В Микротик е доста смотана процедурата за импортиране и следене на сертификати. За това е по-лесно и удачно да се ползва само 1 двойка ключове.

[Mupo neTkoB]

А необходимо ли е чак такова криптиране?

какво ще стане ако ползваш прости пптп връзки с различни за всеки потребител име и парола.

[gbdesign]

При прости PPTP връзки целият нет минава през тунела. OpenVPN е удобен особено при големи мрежи. В конфиг файла на юзера, вкарваш само маршрути за частни мрежи, до които трябва да има връзка.

[ddimitrov]

Добре е криптирането да е на нека кажем нормално ниво. Реално и аз това си мислех, че ако някой се докопа до сертификат без да знае акаунт няма как да се върже. ППТП се използва в момента, но не е най-удачното решение. Доста често се случва когато колеги отидат командировна накъде рутера зад който минават да филтрира GRE и да немогат да се вържат. Също на моменти прави и проблеми когато зад един рутер се опитат да се свържат повече от един vpn. Реално ако се изпадне в ситуация да се наложи да се генерира нов сетрификат (откраднат лаптоп например) подмяната му на клиентите няма да е чак толкова фатална. Мисля, че ще стане без проблем. Потребителите са достатъчно грамотни.

Не използвам рутърборд, микротика е дигнат на сървър. Ресурс има много приличен.

Принципно при каквито и да е политики за сигурност, криптирания и така нататъка, имаш ли срещу теб хора, за които да си наистина интересен ситуацията става доста сложна. Тук се гони някакво 'прилично' ниво на сигурност и възможност за свързване отвсякъде без проблем и особенности.

Добре, да кажем евентуално някой се докопа до сертификата. Какви щети може да нанесе?

[Mupo neTkoB]

При прости PPTP връзки целият нет минава през тунела.

Това не е вярно, само една отметка се маха и си ползваш собствения нет и връзката към мрежата на компанията

Доста често се случва когато колеги отидат командировна накъде рутера зад който минават да филтрира GRE и да немогат да се вържат. Също на моменти прави и проблеми когато зад един рутер се опитат да се свържат повече от един vpn.

Защо фирма която държи на сигурността розрешава служителите да ползват фрее вифи при командиовките, а не мобилен интернет

[gbdesign]

Така е. И губиш всички мрежи от тунела, с изключени на тази, на която е вдигнат. Пък под уиндоус добавяне и махане на маршрути си е направо "песен"...

[111111]

L2TP и SSTP поддържат също сертификат за криптиран,

и се поддържат по подразбиране за разлика от OpenVPN,

който е един малък кошмар за настройка.

[ddimitrov]

 

 

Това не е вярно, само една отметка се маха и си ползваш собствения нет и връзката към мрежата на компанията

Защо фирма която държи на сигурността розрешава служителите да ползват фрее вифи при командиовките, а не мобилен интернет

Няма как да се избегне използването на други мрежи при командировки. Използва се и мобилен през гсм оператор, но си има неща за които скоростта му просто не става. Това с използването на публични мрежи сме го приели за риск, струва ми се малко параноично да се бяга и от всякакви такива.

 

В интерес на истината с OpenVPN-а се бях борил и преди години, но сега го подкарах сравнителни бързо и без проблеми. Този клиент на Securepoint също изглежда доста приятен, много подобен на cisco клиента. 

 

L2TP и SSTP - плюсове и минуси спрямо OpenVPN. Блокират ли се лесно в другите мрежи.

[111111]

http://vpnreviewz.com/vpn-protocols-compared-pptp-vs-l2tp-vs-openvpn-vs-sstp/

има и други сравнения

[Mupo neTkoB]

След като е параноично да се избягва фрее хотспота значи е параноично да се ползват сертификати, следователно ползвай си пптп връзката и спазвай правилото: Работи ли? Да! - не го пипай

Така е. И губиш всички мрежи от тунела, с изключени на тази, на която е вдигнат. Пък под уиндоус добавяне и махане на маршрути си е направо "песен"...

Прав си че не е приятна работата с обясняването на потребители как да пуснат "дос" и да добавят няколко реда, но в случай че имаш повече мрежи които да се наложи да описваш се ползва приятен туул от майкрософт-а . казва се CMAK, чрез него си правиш тулче което да инсталира пптп връзката на клиента (един вид клиентска програма) и си става песен