VPN

SSL PROXY via IPSEC

Posted by pawel in IPS, SSL PROXY, VPN

Zdarza się, że poprzez tunel IPSEC przesyłamy cały ruch, łącznie z ruchem do Internetu. Jeżeli korzystamy z funkcjonalności SSL PROXY dobrze byłoby również filtrować ruch przychodzący z tunelu IPSEC do Internetu. SSL PROXY można używać tylko dla sieci wewnętrznych (protected) natomiast interfejs IPSEC jest traktowany standardowo...

Shrew VPN – łączenie bez monitu o hasło

Posted by pawel in PKI, VPN

Popularny klient Shrew VPN w sytuacji gdy autentykacja tunelu odbywa się z wykorzystaniem certyfikatów, przed każdym połączeniem żąda podania hasła do klucza prywatnego użytkownika. Jest to istotny element podnoszący poziom bezpieczeństwa. W Shrew VPN w przeciwieństwie np. do TheGreenBow VPN nie ma możliwości zapamiętania tego...

Tunel Site-to-Site – dynamiczny adres końca tunelu

Posted by pawel in LDAP/AD, NETWORK, PKI, SECURITY IT, VPN

Konfiguracja tuneli site-to-site wymaga podania adresów IP będących zakończeniami tunelu (endpoints). Zdarzają się jednak sytuacje gdy lokalizacja zdalna jest podłączona do Internetu za pomocą łącza na którym provider nie udostępnia klientowi stałego adresu, np. Neostrada lub standardowe łącza telefonii komórkowej. W artykule opiszę sposób połączeniu...

Routing w sieciach VPN (VTI)

Posted by pawel in NETWORK, VPN

W pierwszej kolejności należy wyjaśnić jaka jest różnica pomiędzy tradycyjnymi  tunelami IPSEC a tunelami opartymi o VTI (Virtual Tunnel Interface). Tradycyjna konfiguracja tunelu IPSEC wymaga zdefiniowania zasobów które mają zostać połączone za pomocą kreowanego tunelu (local traffic to remote traffic). Taka definicja wpływa na trasowanie pakietów powodując,...

Cisco GRE over IPSEC & STORMSHIELD

Posted by pawel in NETWORK, VPN

Przedstawiam przykład konfiguracji Stormshield UTM dla wykreowania tunelu typy GRE over IPSEC utworzonego na routerze Cisco. Protokół GRE łączy sieć 172.16.80.0/24 z siecią 10.0.0.0/8. Ponieważ protokół GRE nie jest protokołem szyfrowanym zachodzi konieczność zabezpieczenia połączenia z wykorzystaniem polisy IPSEC. Zarówno w lokalizacji Cisco jak i lokalizacji Stormshield...

GRE over IPSEC

Posted by pawel in NETWORK, VPN

Zdarzają się sytuacje gdy jesteśmy zmuszeni połączyć tunelem dwie lokalizacje w których sieci lokalne maja identyczną adresację (te same podsieci) i nie mamy możliwości przeadresowania podsieci. Problem taki można rozwiązać na drodze translacji One-to-One NAT poprzez maskowanie sieci zdalnych ale nie zawsze takie rozwiązanie jest...

PPTP

Posted by pawel in NETWORK, VPN

Ludzie kochają PPTP z jednego prostego powodu, konfiguracja i użytkowanie jest banalnie prosta. PPTP jest dostępny w urządzeniach NETASQ jako jeden z trzech dostępnych protokołów tunelowania (poza IPSEC i SSL). Protokołu PPTP dostępny w NETASQ-u możemy używać w trybie client-to-site. Klient protokołu PPTP jest wbudowany we...

Najprostsza konfiguracja VPN IPsec

Posted by pawel in NETWORK, VPN

Pytania dotyczące konfiguracji w NETASQ-u połączenia mobilnego IPSEC, najlepiej z wykorzystaniem darmowego SHREW, pojawiają się praktycznie każdego dnia. Postanowiłem definitywnie rozstrzygnąć ten temat opisując najprostszą z możliwych konfiguracji, bez tokenów,  bez certyfikatów, bez LDAP, bez żadnych zawiłości i tricków konfiguracyjnych. Przesłanie jest proste, wysyłasz SMS-a...

Hub & Spoke IPSec VPN

Posted by pawel in NETWORK, VPN

Artykuł przedstawia konfigurację IPSEC VPN w sytuacji gdy zasoby sieci lokalnych trzech lokalizacji (A, B, C) są połączone poprzez kanały IPSEC VPN. Specyficzne dla przedstawionego modelu jest to, że jedna z lokalizacji (C) jest wybrana jako pośrednicząca w przekazywania ruchu pomiędzy sieciami lokalnymi (A, B)....

One-to-One NAT & IPSEC VPN

Posted by pawel in NETWORK, VPN

W niektórych sytuacjach zachodzi potrzeba połączenia identycznych zdalnych podsieci. Ponieważ polisa IPSEC realizuje m.in. trasowanie ruchu konieczne jest aby podsieci połączone przez IPSEC VPN były różne (rozłączne). Możemy rozwiązać ten problem bez konieczności zmiany adresacji sieci zdalnej. Z pomocą przychodzi technologia znana pod nazwą ONE-to-ONE...

Najnowszy firmware SNS: 3.8.1 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)