Jump to content
  • 0

Mikrotik като OpenVPN сървър за фирмени цели


ddimitrov

Question

ddimitrov

Ситуацията е следната. Фирма с офис, сървърно и всичко както си му е реда. На доста от потребителите се налага отдалечен достъп поради пътувания или работа от вкъщи в належащи моменти. Рутера е Mikrotik. Потребителите се закачат от служебни лаптопи или от домашни компютри. Нивото на сигурност трябва да е добро. Към момента с тестова цел съм дигнал OpenVPN на микротика, като за клиент използвам Securepoint VPN. Клиента ми допада, лесен за конфигуриране и не се налага да си администратор на машината за да го стартираш. Сертификата за няколкото тестови потребителя е един и същ, като се използва и идентификация с персонални пароли, който са с достатъчна сложност.

 

От тук идват въпросите ми:

1. Какви са рисковете при използване на един сертификат от всички потребителите + уникална парола?

2. Ако генерирам различни сертификати за всеки потребител колко ще се усложни администрацията?

3. Кой от двата варианта бихте предпочели и защо?

Link to post
Share on other sites

Recommended Posts

  • 0
gbdesign

Аз ползвам същата комбинация. Да се генерира персонален сертификат е безсмислено. 

Link to post
Share on other sites
  • 0
Mihail Peltekov

Аз може ли да започна по отдалече ;)

 

1. Какви услуги ще се използват, че е необходимо изграждането на VPN. Нивото на сигурно рязко може да се срине с един заразен компютър през тунела.

2. Не е безмислено използване на персонален сертификат за всеки клиент. Ако беше така изобщо нямаше да бъде имплементирано. Може лесно да зададем статичен адрес за всеки VPN клиент.

3. Основния проблем на OpenVPN при Mikrotik,  е че не поддържа комуникация по UDP и отделно не поддръжа LZO compression.

4. Колко конкурентни клиента предполагаш, че може да имаш?

Link to post
Share on other sites
  • 0
ddimitrov

1. Типовете потребители са два: единия тип използват за връзка домашните си компютри, като те след свързване на vpn-а вдигат RDP до служебния си компютър в офиса и работят на него. За тях даже ще ги огранича през firewall-а да немогат да правят друго освен това. Втория тип потребители използват служебни лаптопи. При тях реално достъпват всички услуги в мрежата - файл сървър, db сървъри, erp система и още куп други. Вътре във фирмената мрежа абсолютно всичко е изградено на добро ниво и абсолютно всяка услуга изисква идентификация. Няма никакъв ресурс, който да 'лети свободно'. Служебните лаптопи се контролират - антивирус без опции за изключване, потребителите не са администратори на машините.

2. В момента с тестовите акаунти съм ги пуснал с DHCP адресите за vpn клиентите. Статични адреси немога ли да им задам и на база потребител като са с един сертификат?

3. Трафика, който ще минава през клиентите не е голям. Идеята да ползвам openvpn е да минава през порт 443 на специално отделено IP за целта, така че да не се блокира от рутери при командировки и да може да се връзват от всякъде служебните лаптопи.

4. 20-25 едновременно свързани в пикови моменти.

Link to post
Share on other sites
  • 0
gbdesign

IP адресите ги задавай в акаунтите. Не ти трябва толкова параноично ниво на сигурност, че да генерираш отделни сертификати, освен ако не си във финансова институция.

Link to post
Share on other sites
  • 0
Mihail Peltekov

Добре.

Какъв хардуер използваш? Някои Routerboard или?

Ако случайно откраднат някои от преносимите компютри ще е необходимо на всички да бъде сменен сертификата :) А иначе просто се прави revoke.

Link to post
Share on other sites
  • 0
gbdesign

"Ако случайно откраднат някои от преносимите компютри ще е необходимо на всички да бъде сменен сертификата"

 

По-скоро може да помогне за залавяне на крадеца. SSL се ползва за криптиране на връзката а реалната автентикация става с потребителско име и парола. В Микротик е доста смотана процедурата за импортиране и следене на сертификати. За това е по-лесно и удачно да се ползва само 1 двойка ключове.

Link to post
Share on other sites
  • 0
Mupo neTkoB

А необходимо ли е чак такова криптиране?

какво ще стане ако ползваш прости пптп връзки с различни за всеки потребител име и парола.

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites
  • 0
gbdesign

При прости PPTP връзки целият нет минава през тунела. OpenVPN е удобен особено при големи мрежи. В конфиг файла на юзера, вкарваш само маршрути за частни мрежи, до които трябва да има връзка.

Link to post
Share on other sites
  • 0
ddimitrov

Добре е криптирането да е на нека кажем нормално ниво. Реално и аз това си мислех, че ако някой се докопа до сертификат без да знае акаунт няма как да се върже. ППТП се използва в момента, но не е най-удачното решение. Доста често се случва когато колеги отидат командировна накъде рутера зад който минават да филтрира GRE и да немогат да се вържат. Също на моменти прави и проблеми когато зад един рутер се опитат да се свържат повече от един vpn. Реално ако се изпадне в ситуация да се наложи да се генерира нов сетрификат (откраднат лаптоп например) подмяната му на клиентите няма да е чак толкова фатална. Мисля, че ще стане без проблем. Потребителите са достатъчно грамотни.

Не използвам рутърборд, микротика е дигнат на сървър. Ресурс има много приличен.

Принципно при каквито и да е политики за сигурност, криптирания и така нататъка, имаш ли срещу теб хора, за които да си наистина интересен ситуацията става доста сложна. Тук се гони някакво 'прилично' ниво на сигурност и възможност за свързване отвсякъде без проблем и особенности.

Добре, да кажем евентуално някой се докопа до сертификата. Какви щети може да нанесе?

Link to post
Share on other sites
  • 0
Mupo neTkoB

При прости PPTP връзки целият нет минава през тунела.

Това не е вярно, само една отметка се маха и си ползваш собствения нет и връзката към мрежата на компанията

Доста често се случва когато колеги отидат командировна накъде рутера зад който минават да филтрира GRE и да немогат да се вържат. Също на моменти прави и проблеми когато зад един рутер се опитат да се свържат повече от един vpn.

Защо фирма която държи на сигурността розрешава служителите да ползват фрее вифи при командиовките, а не мобилен интернет

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites
  • 0
gbdesign

Така е. И губиш всички мрежи от тунела, с изключени на тази, на която е вдигнат. Пък под уиндоус добавяне и махане на маршрути си е направо "песен"...

Link to post
Share on other sites
  • 0
  • Administrator

L2TP и SSTP поддържат също сертификат за криптиран,

и се поддържат по подразбиране за разлика от OpenVPN,

който е един малък кошмар за настройка.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
ddimitrov

 

 

Това не е вярно, само една отметка се маха и си ползваш собствения нет и връзката към мрежата на компанията

Защо фирма която държи на сигурността розрешава служителите да ползват фрее вифи при командиовките, а не мобилен интернет

Няма как да се избегне използването на други мрежи при командировки. Използва се и мобилен през гсм оператор, но си има неща за които скоростта му просто не става. Това с използването на публични мрежи сме го приели за риск, струва ми се малко параноично да се бяга и от всякакви такива.

 

В интерес на истината с OpenVPN-а се бях борил и преди години, но сега го подкарах сравнителни бързо и без проблеми. Този клиент на Securepoint също изглежда доста приятен, много подобен на cisco клиента. 

 

L2TP и SSTP - плюсове и минуси спрямо OpenVPN. Блокират ли се лесно в другите мрежи.

Link to post
Share on other sites
  • 0
  • Administrator
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
Mupo neTkoB

След като е параноично да се избягва фрее хотспота значи е параноично да се ползват сертификати, следователно ползвай си пптп връзката и спазвай правилото: Работи ли? Да! - не го пипай

Така е. И губиш всички мрежи от тунела, с изключени на тази, на която е вдигнат. Пък под уиндоус добавяне и махане на маршрути си е направо "песен"...

Прав си че не е приятна работата с обясняването на потребители как да пуснат "дос" и да добавят няколко реда, но в случай че имаш повече мрежи които да се наложи да описваш се ползва приятен туул от майкрософт-а . казва се CMAK, чрез него си правиш тулче което да инсталира пптп връзката на клиента (един вид клиентска програма) и си става песен

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.