Re: IPsec vragen

[Wouter Verhelst]

On Sat, Oct 15, 2016 at 05:23:35PM +0200, Paul van der Vlis wrote:
> Hoi,
> 
> Voor VPN's gebruik ik tegenwoordig OpenVPN,

Zoals elk verstandig mens :-)

> maar nu is er iemand die graag IPsec wil.

Waarom?

> De VPN zou moeten lopen tussen een Debian server en een "Watchguard Firewall
> XTM 330". Komt daar veel bij kijken?

Vrees van wel.

> Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar SSL.
> Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel graag
> van iemand willen horen of zo'n IPsec verbinding lastig is.

Het probleem met IPsec is dat dat een framework is voor beveiliging van
IP-verkeer, niet noodzakelijk een VPN-oplossing.

Je kan IPsec in tunneling mode draaien (en dan heb je iets wat heel
sterk lijkt op een VPN), maar je kan het ook bv enkel een authentication
header laten meesturen (en dan is al je data in cleartext, maar gewoon
signed door een key die beide partijen overeenkomen), of andere trukken
uithalen. Maar door de vele opties die bestaan, zijn er dikwijls wel wat
interoperability-issues in dat opzicht.

> Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig?

Toen ik er de laatste keer naar keek (wat, toegegeven, ondertussen ook
al even geleden is), waren de transport extensies redelijk goed
gestandaardiseerd; maar zei de standaard niet zo geweldig veel over hoe
je aan keys geraakt; en verschillende vendors implementeren dat op
verschillende manieren...

[...]

-- 
< ron> I mean, the main *practical* problem with C++, is there's like a dozen
   people in the world who think they really understand all of its rules,
   and pretty much all of them are just lying to themselves too.
 -- #debian-devel, OFTC, 2016-02-12

Re: IPsec vragen

[Richard Lucassen]

On Sat, 15 Oct 2016 17:23:35 +0200
Paul van der Vlis  wrote:

> Voor VPN's gebruik ik tegenwoordig OpenVPN, maar nu is er iemand die
> graag IPsec wil. De VPN zou moeten lopen tussen een Debian server en
> een "Watchguard Firewall XTM 330". Komt daar veel bij kijken?

IPSEC is een academisch protocol dat in theorie altijd werkt maar in de
paaktijk is er altijd gezeik als het tussen twee verschillende vendors
moet werken. Het hoort samen met pptp, l2tp en ftp op de digitale
schroothoop te staan IMHO.

Een andere ramp vind ik dat IPSEC geen eigen tunnel device heeft en je
allerlei truken moet uithalen om ervoor te zorgen dat verkeer in de
tunnel niet genat wordt. Bovendien komt het opzetten van zo'n tunnel
vaak neer op trial and error omdat de RFC's door de verschillende
vendors anders worden geinterpreteerd

> Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar
> SSL. Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel
> graag van iemand willen horen of zo'n IPsec verbinding lastig is.

Ik zo sowieso gaan voor de OpenVPN oplossing. Simpel en effectief. En
retestabiel.

> Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig?

Het is een naar ipv4 geporteerd protocol dat voor ipv6 is ontworpen
(vandaar native geen NAT). Om het te natten wordt de troep in een udp
stream gezet. Hoe idioot kun je het maken.

> Het pakket "strongswan" gebruiken in Debian?
> Je hebt geloof ik ook nog "libreswan" en "openswan".
> "freeswan" heb ik vroeger wel gebruikt, in Linux 2.4.

Strongswan werkt op zich het simpelst. En praat ook goed met de Azure
cloud. Verder moet ik het op sommige plekken wel draaien, maar ik zet
het altijd op een aparte machine die dat afhandelt. Dat is wel zo
duidelijk voor de routering en dergelijke (die zie je namelijk niet in
je routetabellen, ook zo'n fijne feature van IPSEC)

> L2TP is toch ook een soort IPsec?

Als je layer2 wilt tunnelen pak dan OpenVPN met tap devices. Het is een
gedrocht dat je ook nog eens met ipsec moet beveiligen. Houd de dingen
simpel zou ik zeggen.

Ik zou eerder bij die klant een los OpenVPN doosje neerzetten die je
aan hun firewall hangt in een DMZ. Vervuil je eigen systeem niet met
IPSEC zou ik zeggen.

En vaak heeft "de IPSEC overkant" alleen maar een GUI met 3 opties en
dan moet jij je er maar aan gaan aanpassen. "Ik wens je veel personeel"
zeiden de Joden vroeger als ze een hekel aan alkaar hadden. Ik weet nog
een versie met IPSEC :)

R.

-- 
richard lucassen
http://contact.xaq.nl/

Re: IPsec vragen

[Vincent Zweije]

On Sat, Oct 15, 2016 at 05:23:35PM +0200, Paul van der Vlis wrote:

||  Voor VPN's gebruik ik tegenwoordig OpenVPN, maar nu is er iemand die
||  graag IPsec wil. De VPN zou moeten lopen tussen een Debian server en een
||  "Watchguard Firewall XTM 330". Komt daar veel bij kijken?

Zou mee moeten vallen denk ik. Als die twee endpoints de betreffende
routers zijn, dan ben je met een IPsec tunnel ("ESP" - encapsulated
security payload) vrij snel klaar. Als er geen verdere VPN uitbreidingen
bij deze klant in zicht zijn kun je wel volstaan met een pre-shared key
(PSK) voor authenticatie.

||  Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar SSL.
||  Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel graag
||  van iemand willen horen of zo'n IPsec verbinding lastig is.
||
||  Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig?

Die standaardisatie is volgens mij wel prima, het staat allemaal
in RFCs beschreven. Maar die zijn dan weer voor gewone stervelingen
onleesbaar. :-/

||  Het pakket "strongswan" gebruiken in Debian?
||  Je hebt geloof ik ook nog "libreswan" en "openswan".
||  "freeswan" heb ik vroeger wel gebruikt, in Linux 2.4.

Ik ben zelf een tijd geleden back to basics gegaan met setkey en
racoon. Ik denk dat *swan misschien handiger zijn voor de eerste keer. Ik
weet uit mijn hoofd niet welke momenteel het meest bij de tijd is,
maar ze lijken erg op elkaar.

Het grote probleem van IPsec is -vind ik- dat niemand echt een
helder verhaal heeft wat er bij komt kijken en hoe de onderdelen
samenhangen. Tegenwoordig zijn er vooral bij Debian nog wel wat blogs
die wat duidelijkheid scheppen, maar het meeste is knip-en-plak dit en
dan werkt het, maar dan werkt het toch niet maar je hebt geen idee waarom.

Eigenlijk is dat bij alle security producten het probleem, terwijl
security nou net een onderwerp is waar je wilt weten dat je geen fouten
maakt :-/ maar ik dwaal af.

||  L2TP is toch ook een soort IPsec?

L2TP is: layer-two tunneling protocol. Een protocol waarmee layer-2
links (het laagje net onder IP, denk ppp) kan worden getunneld over het
internet. L2TP doet zelf geen encryptie, maar wordt standaard bovenop
een IPsec link gebruikt in MS vpn oplossingen, volgens mij. Bovenop die
L2TP link kun je dan bijvoorbeeld dus een PPP link opzetten om je IP
verkeer weer over te laten lopen.

||  Kan IPsec tegenwoordig door NAT? (is hier geen probleem).

Dat kan; dan wordt het IPsec verkeer getunneld over UDP (poort 4500,
standaard) in plaats van direkt over IP. Als de initiator (client)
achter SNAT zit gaat het min of meer vanzelf goed, dacht ik.

Hoewel... met racoon lukte mij het niet. Maar ik weet niet (meer) of
dat aan mij lag of aan de serverinrichting op het werk, of aan de L2TP
tunnel die er overheen loopt.

Succes.
Vincent.
-- 
Vincent Zweije| "If you're flamed in a group you
  | don't read, does anybody get burnt?"
[Xhost should be taken out and shot] |-- Paul Tomblin on a.s.r.


signature.asc
Description: PGP signature

IPsec vragen

[Paul van der Vlis]

Hoi,

Voor VPN's gebruik ik tegenwoordig OpenVPN, maar nu is er iemand die
graag IPsec wil. De VPN zou moeten lopen tussen een Debian server en een
"Watchguard Firewall XTM 330". Komt daar veel bij kijken?

Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar SSL.
Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel graag
van iemand willen horen of zo'n IPsec verbinding lastig is.

Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig?

Het pakket "strongswan" gebruiken in Debian?
Je hebt geloof ik ook nog "libreswan" en "openswan".
"freeswan" heb ik vroeger wel gebruikt, in Linux 2.4.

L2TP is toch ook een soort IPsec?

Kan IPsec tegenwoordig door NAT? (is hier geen probleem).

Groet,
Paul.



-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/