Работа ipsec на нестандартных портах

Vladimir Bobarykin написал(а) к All в Jul 17 15:35:22 по местному времени:

Здpавствуй, All!

Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на любых других портах (как, например в опенсванах и прочих юниксовых ipsec-тулзах - порты для каждого тоннеля можно указывать отдельно и любые)? Если можно, то как? :)

С уважением - Vladimir
... Пpодаётся стpуйный сканеp.
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Alexey Vissarionov написал(а) к Vladimir Bobarykin в Jul 17 17:24:00 по местному времени:

Доброго времени суток, Vladimir!
04 Jul 2017 15:35:22, ты -> All:

VB> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на
VB> любых других портах (как, например в опенсванах и прочих юниксовых
VB> ipsec-тулзах - порты для каждого тоннеля можно указывать отдельно
VB> и любые)? Если можно, то как? :)

Хм... А зачем?
Несколько тоннелей на одной железяке поднять? Это вряд ли получится.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Работа - как паровоз: чем больше свистим, тем меньше едем
--- /bin/vi

Vladimir Bobarykin написал(а) к Alexey Vissarionov в Jul 17 03:58:36 по местному времени:

Здpавствуй, Alexey!

Вторник 04 Июля 2017 17:24, ты писал(а) мне, в сообщении по ссылке area://ru.cisco?msgid=2:5020/545+595ba54c:

VB>> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на
VB>> любых других портах (как, например в опенсванах и прочих
VB>> юниксовых ipsec-тулзах - порты для каждого тоннеля можно
VB>> указывать отдельно и любые)? Если можно, то как? :)
AV> Хм... А зачем?
От блокировки этих портов, и при невозможности их использовать :(
Столкнулся тут, репу чешу теперь... Юниксовые софт норм переключаются, на вручную выставленный порт, а на циске чего-то я ступор впал :)

С уважением - Vladimir
... Чем лучше узнаю людей, тем больше мне нpавятся оpки...
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Alexey Vissarionov написал(а) к Vladimir Bobarykin в Jul 17 09:40:40 по местному времени:

Доброго времени суток, Vladimir!
05 Jul 2017 03:58:36, ты -> мне:

VB>>> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а
VB>>> на любых других портах (как, например в опенсванах и прочих
VB>>> юниксовых ipsec-тулзах - порты для каждого тоннеля можно
VB>>> указывать отдельно и любые)? Если можно, то как? :)
AV>> Хм... А зачем?
VB> От блокировки этих портов, и при невозможности их использовать :(

Неужели проклятый Роскомпозор дотянулся?

VB> Столкнулся тут, репу чешу теперь... Юниксовые софт норм
VB> переключаются, на вручную выставленный порт, а на циске чего-то
VB> я ступор впал :)

Если внутри тоннеля планируется передавать что-то хотя бы важное (я даже не говорю про критичное) - увы: эхотаги для этого бесполезны.


З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32 оставалось еще более 10 лет, один мой тогдашний коллега выдал хорошую рекомендацию кому-то из клиентов (такому же инженеру) - "если ты не гомосек, не используй IPsec" :-)

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Политкорректная замена термина "черная дыра" - "афроотверстие"
--- /bin/vi

Eugene Grosbein написал(а) к Alexey Vissarionov в Jul 17 16:15:57 по местному времени:

05 июля 2017, среда, в 08:40 NOVT, Alexey Vissarionov написал(а):

AV> Если внутри тоннеля планируется передавать что-то хотя бы важное (я даже не
AV> говорю про критичное) - увы: эхотаги для этого бесполезны.
AV> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32 оставалось еще
AV> более 10 лет, один мой тогдашний коллега выдал хорошую рекомендацию кому-то из
AV> клиентов (такому же инженеру) - "если ты не гомосек, не используй IPsec" :-)

Тот коллега был просто неумеха. Не говоря уже о том, что POODLE и SWEET32
не имеют отношения к IPSEC, который прекрасно подходит для шифрования трафика.

Eugene
--
Устав от радостных пиров,
Не зная страхов и желаний
--- slrn/1.0.2 (FreeBSD)

Alexey Vissarionov написал(а) к Eugene Grosbein в Jul 17 12:38:38 по местному времени:

Доброго времени суток, Eugene!
05 Jul 2017 16:15:56, ты -> мне:

AV>> Если внутри тоннеля планируется передавать что-то хотя бы важное (я
AV>> даже не говорю про критичное) - увы: эхотаги для этого бесполезны.
AV>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>> "если ты не гомосек, не используй IPsec" :-)
EG> Тот коллега был просто неумеха.

Тот коллега был экспертом по ИБ, и знал, о чем говорит.

EG> Не говоря уже о том, что POODLE и SWEET32 не имеют отношения к IPSEC,
EG> который прекрасно подходит для шифрования трафика.

Да ну? Оттуда уже выпилили 3DES-EDE? И добавили хоть один алгоритм, работающий не в режиме сцепления блоков?



--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Пусть компутер думает - у него мозги луженые
--- /bin/vi

Eugene Grosbein написал(а) к Alexey Vissarionov в Jul 17 18:39:20 по местному времени:

05 июля 2017, среда, в 11:38 NOVT, Alexey Vissarionov написал(а):

AV>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>> "если ты не гомосек, не используй IPsec" :-)
EG>> Тот коллега был просто неумеха.
AV> Тот коллега был экспертом по ИБ, и знал, о чем говорит.

У специалистов по ИБ упор совсем на другие навыки, нежели умение
готовить IPSEC.

EG>> Не говоря уже о том, что POODLE и SWEET32 не имеют отношения к IPSEC,
EG>> который прекрасно подходит для шифрования трафика.
AV> Да ну? Оттуда уже выпилили 3DES-EDE?

Дык это каждый сам решает, использовать ли ему 3DES или нет.
И если кто-то 3DES не отключает, то это не проблема IPSEC.

AV> И добавили хоть один алгоритм, работающий не в режиме сцепления блоков?

С добрым утром. RFC 4106 вышел 12 лет назад, а есть и другие.

Eugene
--
Научить презирать мещанскую мудрость.
--- slrn/1.0.2 (FreeBSD)

Vladimir Bobarykin написал(а) к Alexey Vissarionov в Jul 17 15:30:58 по местному времени:

Здpавствуй, Alexey!

Среда 05 Июля 2017 09:40, ты писал(а) мне, в сообщении по ссылке area://ru.cisco?msgid=2:5020/545+595c8bf6:

AV>>> Хм... А зачем?
VB>> От блокировки этих портов, и при невозможности их использовать :(
AV> Неужели проклятый Роскомпозор дотянулся?
Х.з, провайдер открещивается, говорит не при делах. Для теста поднял линк между фряхами на ракун-ипсектулс - так же не пашет шифрование, меняю порт с 500 на 501 - работает. ВОт и фиг знает что тут думать, и на кого :(
Наблюдается такое последние пару месяцев в граничных городах (сначала в Каланинграде, сейчас Симферополь перестал с теми же симптомами). Еще ~40 городов работают норм.

AV> Если внутри тоннеля планируется передавать что-то хотя бы важное (я
AV> даже не говорю про критичное) - увы: эхотаги для этого бесполезны.
Отключать шифрование не вариант - а опенвпн между серваками держать грустно - когда по стандарту у нас всё на циске тунелируется :(

С уважением - Vladimir
... Жизнь-цепь, а мелочи в ней - звенья. Все сволочи, и я - не исключенье...
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Alexey Vissarionov написал(а) к Eugene Grosbein в Jul 17 15:10:00 по местному времени:

Доброго времени суток, Eugene!
05 Jul 2017 18:39:20, ты -> мне:

AV>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>>> "если ты не гомосек, не используй IPsec" :-)
EG>>> Тот коллега был просто неумеха.
AV>> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG> У специалистов по ИБ упор совсем на другие навыки, нежели умение
EG> готовить IPSEC.

Да я, знаешь ли, в курсе... :-)

EG>>> Не говоря уже о том, что POODLE и SWEET32 не имеют отношения к
EG>>> IPSEC, который прекрасно подходит для шифрования трафика.
AV>> Да ну? Оттуда уже выпилили 3DES-EDE?
EG> Дык это каждый сам решает, использовать ли ему 3DES или нет.
EG> И если кто-то 3DES не отключает, то это не проблема IPSEC.

Мне, конечно, давно не доводилось всерьез крутить хвосты эхотагам, но все же вспоминается, что отключение этого атавизма было возможно далеко не везде, а действия по его отключению (не настройке предпочитаемого алгоритма, а именно полному запрету fallback до DES и его производных) были весьма нетривиальными.

AV>> И добавили хоть один алгоритм, работающий не в режиме сцепления
AV>> блоков?
EG> С добрым утром. RFC 4106

Если говорить про режим счетчика над конечным полем, то лучше вспомнить RFC-4309.

EG> вышел 12 лет назад,

И где? Модель эхотага и версию софта - в президиум!

EG> а есть и другие.

Ага, есть... например, RFC-2410 :-)

Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают, а пользуют RFC-3602, как когда-то было описано в популярном мануале.

Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна - просто потому, что в подавляющем большинстве случаев усеру нужен тоннель, а в тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Сверхзвуковая реактивная ступа с изменяемой геометрией помела
--- /bin/vi

Alexey Vissarionov написал(а) к Vladimir Bobarykin в Jul 17 16:06:06 по местному времени:

Доброго времени суток, Vladimir!
05 Jul 2017 15:30:58, ты -> мне:

AV>> Если внутри тоннеля планируется передавать что-то хотя бы важное
AV>> (я даже не говорю про критичное) - увы: эхотаги для этого
AV>> бесполезны.
VB> Отключать шифрование не вариант - а опенвпн между серваками держать
VB> грустно - когда по стандарту у нас всё на циске тунелируется :(

По стандарту - это "традиционно" или "согласно документу"?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Поделись рекурсией своей - и она к тебе не раз еще вернется
--- /bin/vi