| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Vou tentar responder às tuas questões, mas devias ler um pouco mais sobre o assunto...
VPN não é sinónimo de IPsec... IPSec é um método de encriptação opcional, mas recomendado, numa VPN...
Não precisas de um router... lê aqui como podes ter uma VPN com Linux, por exemplo... ficas a saber também que métodos tens de autenticação.
Em relação aos sniffers, a única solução é a utilização de encriptação... que num mundo perfeito seria o "default" e não opcional...
|
| |
| |
| | Ah... e acabei por não mencionar um projecto interessantissimo que é o Linux FreeS/WAN, uma implantação de IPSEC+VPN para Linux... deve ser exactamente o que precisas, já que o poptop não tem encriptação...
|
| |
| | já que o poptop não tem encriptação...
hã? não tem? juras pelos teus olhinhos? :)
E, já agora, para o Chaka Zulu: usa o poptop no linux ou o próprio win2k server. Se quiseres alguma coisa mais segura/fashionable/whatever contrata alguém para a instalar e para te dar 2 horas de formação. Senão vais ter que investir umas semanas nisto (que até pode ser o que queres...), porque se não sabes o que é uma VPN, começar pelo ipsec é dose :)
Regards,
Nuno Silva aka RaTao |
| |
| | não tem?
Tem, sim senhor ! Estava a confundir com um servidor antigo de pptp, que já verifiquei que foi descontinuado... Obrigada pela correcção !
|
| |
| | Boas.
"...porque se não sabes o que é uma VPN, começar pelo ipsec é dose.."
True, true.
É melhor começar pelo mais básico ( se é que podemos chamar de básico a instalação do poptop e afins ).
@190, Nbk
|
| |
| | 1 - O Serviço VPN tem uma componente cliente e outra servidora. A componente cliente os so já a trazem e a componente servidora ?
Tens de ter um VPN Server que permita as ligações VPN. Podes usar maquinas dedicadas para isso ou implementar por software nos mais diversos SO's.
Tenho que ter um Router com VPN ?
Supondo que tens o router a fazer NAT para a tua rede interna, o router tem de ter suporte para VPN. Uma hipotese é ter o servidor de VPN a correr no proprio router. A Cisco tem optimos modelos ;o) !
2 - Para que serve o IP Sec ? (Tenho que forçosamente o ter para a minha VPN funcionar ?)
IPSEC é um protocolo que foi criado com o intuito de acrescentar caracteristicas de segurança ao protocolo IP. As VPN's implementam IPSEC.
3 - Como é que os utilizadores se registam na rede (É pelo IP Sec ?)
O sistema de autenticação e autorizações depende do servidor de VPN's que escolheres
4 - Quanto à segurança da password não corro o risco de que seja vista com um sniffer ? Ouvi falar de uns "porta chaves" com uma password que muda a cada minuto, será essa a melhor solução para a segurança das passwords ?
Umas das grandes qualidades das VPN é nunca haver informação relevante a ser trocada sem ser encriptada. Logo numa boa implementação os sniffers são irrelevantes. Os famosos "porta-chaves" são boas ferramentas de segurança se forem devidamente usados mas sinceramente acho que não terão qualquer uso para ti neste momento.
NOTA FINAL: Tem muito cuidado com a implementação que escolheres. Uma má implementação pode ser catastrofica e por em risco toda a segurança da tua rede interna.
|
| |
| |
| | Umas das grandes qualidades das VPN é nunca haver informação relevante a ser trocada sem ser encriptada. Logo numa boa implementação os sniffers são irrelevantes. Os famosos "porta-chaves" são boas ferramentas de segurança se forem devidamente usados mas sinceramente acho que não terão qualquer uso para ti neste momento. Acho que o Chaka Zulo se refere a One-Time-Pads... e quanto a OTPs, faço minhas as imortais palavras de Bruce Schneier:
One-Time" Pads
It's a meme that never seems to go away. Every time I write about this cryptanalytic result, or the insecurity of that system, someone starts crowing about one-time pads.
"Every other cryptographic algorithm is based on some assumption, and one-time pads are the only provably secure system," they say.
"They're the only safe algorithm," they say.
"They're the future," they say.
Well, they're wrong. And step, by step, I will explain why.
|
| |
| | Boas.
"Acho que o Chaka Zulo se refere a One-Time-Pads... e quanto a OTPs, faço minhas as imortais palavras de Bruce Schneier"
Gostei muito do artigo. Thks.
@469, Nbk
|
| |
| ` (Pontos:3, Informativo) |
| | http://openvpn.sourceforge.net/
|
| |
| |
| | Tenho alguns clientes em que instalei VPN's com o FreeS/WAN, e devo confessar que de inicio tive algumas dificuldades, mas agora já instalo e ponho tudo a funcionar em "piloto automatico".
Li umas coisas sobre o OpenVPN e fiquei bastante satisfeito com o que li, vou pensar seriamente em fazer uns testes!!
PoWeREd bY TuRQueL HaRdCoRe, bJeCa StYLe!!!! |
| |
| VPNs (Pontos:2, Interessante) |
| | Se já tens um 2000 server e se queres ligar desktops em XP... não percas muito tempo a reinventar a roda e vê como funciona o serviço de RRAS do Windows 2000 Server. Desde que faças os habituais updates de segurança e não uses PAP/CHAP/MS-CHAP no PPTP (i.é, usa EAP) não deves ter grandes chatices e funciona bem. Um problema: os clientes 'Open' não suportam EAP-TLS... por enquanto.
|
| |
| | | Em alternativa a fazeres a tua VPN, podes comprar uma ja feita. a Vodafone (suponho que a TMN e a Optimus tb o façam) vende acessos em que a sede da empresa fica com uma ligação ADSL (ou dedicada se quiseres uma coisa mais melhor boa:) e os teus comerciais ou quem mais quiser entrar na LAN da empresa usa modem/RDIS/ADSL/GPRS/GSM9600bps para fazer o seu acesso. tudo isto acontece numa rede IP que o teu operador isola do resto do mundo. tipo: a tua LAN de Aveiro é 192.168.1.x, a tua LAN de Faro é 192.168.2.x e os teus laptops ficam com 192.168.3.x podes inclusivamente impedir os laptops de verem endereços que nao sejam os teus IP privados (GPRS pago pelo patrao nao deve cair em maos erradas :) nestas circunstancias, em vez de tu te preocupares com vedar o acesso VPN em relação a Internet, isso passa a ser responsabilidade do teu operador. os IPSECs e afins tb deixam de ser preocupação tua. inté
Grumpy B) |
| |
| |
| | Porque pagar???? Com tanta implementação de VPN's para linux, porque dar dinheiro a quem não o merece???
PoWeREd bY TuRQueL HaRdCoRe, bJeCa StYLe!!!! |
| |
| | | porquê? por que: 1) dá menos trabalho 2) a segurança fica a cargo do ISP 3) permite isolar acesso VPN do acesso internet 4) não tens que comprar/configurar/afinar/gerir routers/firewalls/servidores RAS so por causa da VPN 5) terias sempre que pagar as comunicações a alguem, certo? 6) falando em "nao merecer", podes trocar o netcabo pelo DSL destes operadores ;) 7) o IPSEC gasta largura de banda. se estiveres numa rede privada, podes optar por dispensa-lo. 7.1) antes de nesta thread termos começado a impingir IPSEC e outros, se calhar dever-se-ia ter ponderado qual a importancia de uma transmissão de uma encomenda no Primavera Software ser lida por terceiros em transito. qual a probabilidade de ser lida e qual a de ser substituida por uma encomenda falsa? e nao me ocorre nenhuma outra vantagem. há alguma desvantagem que me tenha escapado, alem da que referiste?
Grumpy B)
|
| |
| | | porquê? por que: 1) dá menos trabalho ....... 2) a segurança fica a cargo do ISP Confias? não usas firewall/packet filter? 3) permite isolar acesso VPN do acesso internet E? 4) não tens que comprar/configurar/afinar/gerir routers/firewalls/servidores RAS so por causa da VPN Tens que comprar/alugar routers, pagar mensalidades e além de nunca ser teu, nem sequer podes gerir à tua maneira o q quer q seja. Experimenta pedir à ONI para te abrir um port de um router, depois vês.... 5) terias sempre que pagar as comunicações a alguem, certo? Certo, mas comunicações é uma coisa, outros serviços é outra. Pensa nos sms's 6) falando em "nao merecer", podes trocar o netcabo pelo DSL destes operadores ;) Trabalho tanto com net por cabo como DSL, uns têm uns problemas, outros têm outros 7) o IPSEC gasta largura de banda. se estiveres numa rede privada, podes optar por dispensa-lo. O Kazaa tb gasta.... 7.1) antes de nesta thread termos começado a impingir IPSEC e outros, se calhar dever-se-ia ter ponderado qual a importancia de uma transmissão de uma encomenda no Primavera Software ser lida por terceiros em transito. qual a probabilidade de ser lida e qual a de ser substituida por uma encomenda falsa? e nao me ocorre nenhuma outra vantagem. há alguma desvantagem que me tenha escapado, alem da que referiste? É teu , é mais barato, mandas tu nele, não pagas a ISP's que tudo fazem para espremer mais 1 bocadinho o Zé, sabes o que estás a usar, etc, etc
PoWeREd bY TuRQueL HaRdCoRe, bJeCa StYLe!!!! |
| |
| | | Se tens os portateis com Windows e quiseres uma solução que te dê o mínimo de trabalho e alterações nos Windows, o melhor é instalares o poptop. Provavelmente também encontras rpm's e HOWTO's disto em outros sítios. Ficas com uma VPN PPTP que, se for bem configurada, não é tão insegura como a pintam. Convém é forçar a encriptação MPPE 128 e autenticação MSCHAPv2. Isto porque me parece que o suporte de IPSEC em "tunnel mode" (com L2TP, para evitar instalar clientes third-party no Windows) ainda não está muito maduro em Linux. Já agora, se alguém tiver experiências positivas com alguma implementação de L2TP em Linux, diga da sua justiça.
|
| |
| |
| | Boas.
"Ficas com uma VPN PPTP que, se for bem configurada, não é tão insegura como a pintam. Convém é forçar a encriptação MPPE 128 e autenticação MSCHAPv2."
Para que a "sopa" fique completa, acrescentaria apenas uma olhada constante pelos logs. Também convêm. :-)
@194, Nbk
|
| |
| | Embora o MSCHAPv2 resolva aqueles famosos problemas do MSCHAP, parece que ainda não é totalmente convincente para algumas mentes mais preocupadas. E fica ainda o problema de autenticação dos utilizadores remotos e a forma como as password são armazenadas... Tenho instalado várias soluções RRAS (pptp) + IAS (Radius AAA + EAP-TLS) + Windows 2000 AD e CA (para os certificados do TLS). Ok, é tudo Windows. Ok, não há aqui nada OpenSource (há uns RFCs). Mas funciona, integra na perfeição e vem tudo com o Windows 2000 Server à distância de meia dúzia de wizards e de uma placa de rede extra.
|
| |
| | No Freebsd tenho isso tudo e mais qualquer coisa. Para quem estiver interessado em fazer o mesmo, é tudo muito simples, e o filme não é assim tão feio. Meia dúzia de minutos umas cabeçadas e voila.
http://www.v2project.com/docs/Articulos/FreeBSD-VPN-W2K/article.html
Tenho o mesmo sistema para a rede de wireless da nossa comunidade, ao qual optamos por usar uma vpn do que se apoiar no wep.
Regards.
Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18) |
| |
| | Boas.
Setting up PPTPD on Linux Kernel 2.4 HOWTO
http://home.swbell.net/berzerke/howto.html
Poptop - Open Source PPTP Server
http://poptop.sourceforge.net/
HOWTO: PPTP + MPPE + RADIUS + MySQL (Henning Stener)
http://poptop.sourceforge.net/dox/radius_mysql.html
PPTP Howto
http://www.vmlinux.org/joachim/mirror/www.compubytes.be/freesco/New_Folder/HOWTOs/pptp.htm
PPTP Client
http://pptpclient.sourceforge.net/
MPPE/MPPC kernel module for Linux
http://www.polbox.com/h/hs001/
Getting PPTP to work on Debian GNU/Linux
http://www.chiark.greenend.org.uk/~owend/free/pptp-debian.html
ppp
http://ppp.samba.org/
@197, Nbk
P.s. - Procura no gildot por uma discussão antiga sobre vpn's. Estão lá mais links e conselhos sobre as mesmas.
|
| |
| | Se ponderas uma solução comercial, a firewall Astaro inclui um interface web que facilita as configurações e o manual é bastante completo. O único problema que terias era a ligação com o cable modem...
"No comments"
|
| |
