Forum » Omrežja in internet » VPN - kako varno dejansko je tole?
VPN - kako varno dejansko je tole?
'FireSTORM' ::
Torej mislim da naslov pove vse.
In sicer gre se za VPN preko običnega interneta ne po privat liniji torej ampak kot tunneling.
Kaka je možnost da te podatke kdo prestreže ob prenosu po "VPN kanalu"?
In tudi tole, kje je bolje "spuščat VPN" po TCP ali UDP protokolu?
In sicer gre se za VPN preko običnega interneta ne po privat liniji torej ampak kot tunneling.
Kaka je možnost da te podatke kdo prestreže ob prenosu po "VPN kanalu"?
In tudi tole, kje je bolje "spuščat VPN" po TCP ali UDP protokolu?
Those penguins.... They sure aint normal....
SasoS ::
Varnost je predvsem odvisna od načina kodiranja, lahko pa je zelo varna (pravzaprav je tudi ssl nek tunel, torej je lahko tvoj vpn varen ravno toliko kot spletno nakupovanje :)). Odvisno je tudi kakšen VPN postavljaš...tisti osnovni microsoftov (PPtP) ima po defaultu 56 ali 128 bitni ključ, imaš pa še OpenVPN, CISCOtove VPNje s certifikati, etc...
Načeloma je UDP predvsem hitrejši. Ima manjše headerje (28 proti 40 bytov), ter ne rabi ACKjev. To se sicer sliši malce smešno, saj pri UDPju ne veš če se je vmes zgubil kak paket...ampak če si predstavljaš da v tunelu lavfa TCP protokol, potem že on na višjem nivoju skrbi da se paketi ne izgubljajo. Če bi tunel lavfal preko TCP potem bi rabil za vsak paket 3 ACKje (podatkovni paket tja, ACK da je bil sprejet VPN paket nazaj, ACK da je bil sprejet podatkovni paket (ki gre preko tunela) nazaj, ter še en ACK od serverja da je sprejel ACK VPN paket
)
Načeloma je UDP predvsem hitrejši. Ima manjše headerje (28 proti 40 bytov), ter ne rabi ACKjev. To se sicer sliši malce smešno, saj pri UDPju ne veš če se je vmes zgubil kak paket...ampak če si predstavljaš da v tunelu lavfa TCP protokol, potem že on na višjem nivoju skrbi da se paketi ne izgubljajo. Če bi tunel lavfal preko TCP potem bi rabil za vsak paket 3 ACKje (podatkovni paket tja, ACK da je bil sprejet VPN paket nazaj, ACK da je bil sprejet podatkovni paket (ki gre preko tunela) nazaj, ter še en ACK od serverja da je sprejel ACK VPN paket
) 'FireSTORM' ::
No predvsem varnostno me zanima UDP vs TCP, če pa ni razlike pa izberem hitrejšega :)
Sicer uporabljam pa OpenVPN.
Sicer uporabljam pa OpenVPN.
Those penguins.... They sure aint normal....
imagodei ::
Hm, FireStorm,
ne vem, če te čist štekam glede VPN preko običajnega Interneta vs VPN preko privat linije... To zadnje imaš v mislih neko zakupljeno direkt linijo med dvema dislociranima enotama?
Kakorkoli, v firmi uporabljamo VPN za dostop do omrežja od doma (delo na domu, pregledovanje pošte...) in sicer imamo Ciscotov VPN. Zadeva je varna, vsaj do sedaj še nismo opazili kakšnega (poskusa) vdora, pa nad omrežjem ne bdim sam, ampak zadevo delno tudi outsourcamo firmi, ki res obvlada.
Očitno sem sicer v primerjavi s tabo na tem področju noob, tako da ti kaj pametnega ne morem svetovat, edino iz prakse ti lahko povem, da pri nas zadeva teče preko TCP-ja in da se solidno obnese. Zadnjič sem testiral tudi povezavo preko GPRS - če se ti mudi, je stvar zelo neprikladna, saj je za povezavo do Web Accessa za pošto potreboval 30 sekund. Ko si enkrat notri, textovno pošto spet solidno hitro prikazuje.
ne vem, če te čist štekam glede VPN preko običajnega Interneta vs VPN preko privat linije... To zadnje imaš v mislih neko zakupljeno direkt linijo med dvema dislociranima enotama?
Kakorkoli, v firmi uporabljamo VPN za dostop do omrežja od doma (delo na domu, pregledovanje pošte...) in sicer imamo Ciscotov VPN. Zadeva je varna, vsaj do sedaj še nismo opazili kakšnega (poskusa) vdora, pa nad omrežjem ne bdim sam, ampak zadevo delno tudi outsourcamo firmi, ki res obvlada.
Očitno sem sicer v primerjavi s tabo na tem področju noob, tako da ti kaj pametnega ne morem svetovat, edino iz prakse ti lahko povem, da pri nas zadeva teče preko TCP-ja in da se solidno obnese. Zadnjič sem testiral tudi povezavo preko GPRS - če se ti mudi, je stvar zelo neprikladna, saj je za povezavo do Web Accessa za pošto potreboval 30 sekund. Ko si enkrat notri, textovno pošto spet solidno hitro prikazuje.
- Hoc est qui sumus -
jype ::
FireSTORM> UDP vs TCP
Noben od teh dveh ne ponuja nikakršne varnosti.
Jasno je, da se razvijalci OpenVPN tega zavedajo, zato imaš možnost pakete podpisat s tls-auth parametrom in ključem, tako da paketi, ki ne nosijo ustreznega podpisa, sploh ne pridejo do SSL knjižnice (kar močno zmanjša možnost zlorabe lukenj). OpenVPN je tako, ob ustrezni konfiguraciji požarnega zidu, povsem skrit - nihče od zunaj ga ne more poiskati brez pravega (običajno 1024 bitnega) ključa.
Noben od teh dveh ne ponuja nikakršne varnosti.
Jasno je, da se razvijalci OpenVPN tega zavedajo, zato imaš možnost pakete podpisat s tls-auth parametrom in ključem, tako da paketi, ki ne nosijo ustreznega podpisa, sploh ne pridejo do SSL knjižnice (kar močno zmanjša možnost zlorabe lukenj). OpenVPN je tako, ob ustrezni konfiguraciji požarnega zidu, povsem skrit - nihče od zunaj ga ne more poiskati brez pravega (običajno 1024 bitnega) ključa.
'FireSTORM' ::
imagodei: točno tako, mislim zakupljeno linijo med dvema lokacijama ki je nimam 
jype: Z pravilno nastavitvijo firewall-a. Če pa v OpenVPN dock piše da moraš odpret port na katerem laufa OpenVPN?
jype: Z pravilno nastavitvijo firewall-a. Če pa v OpenVPN dock piše da moraš odpret port na katerem laufa OpenVPN?
Those penguins.... They sure aint normal....
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 22408 (8256) | Daniel |
| » | MTU problem pri VPNju?Oddelek: Omrežja in internet | 881 (742) | poweroff |
| » | OpenVPN odjemalec na Mikrotiku?Oddelek: Omrežja in internet | 1553 (1345) | noraguta |
| » | Težave z OpenVPN povezavo (strani: 1 2 )Oddelek: Omrežja in internet | 9374 (6270) | čuhalev |
| » | Omrežna vrata (porti)Oddelek: Omrežja in internet | 6262 (4691) | Daniel |