LINUX.ORG.RU

Кто может похвалить/покритиковать sstp?

 , ,


0

1

Для тех кто в танке sstp - это такой vpn который прикидывается https трафиком, соответственно dpi(в теории) без наличия сертификата не отличит его от обычного https трафика, или отличит? Но оно детище ms, а предыдущая их попытка создать vpn(pptp) была не особо удачной.

P.S. В качестве клиента будет mikrotik если что.
P.P.S. https://habrahabr.ru/post/196134/ Описание sstp

Deleted

Можно еще port knocking прикрутить сверху, чтобы от active probing спрятать

slowpony ★★★ ()

тащемта хитрые dpi даже доставку вирусов по https могут определять. так что вопрос только в ресурсах и желании.

Deleted ()

Хм, похоже на Cisco AnyConnect. Про сервак не знаю, а вот клиент под Линукс родной (OpenVPN ЕМНИП).

Kroz ★★★★★ ()
Ответ на: комментарий от Deleted

Да, перепутал.
Вот так подключаюсь:

$ openconnect --script /etc/vpnc/vpnc-script сервер
OpenConnect is an SSL VPN client initially created to support Cisco's AnyConnect SSL VPN. It has since been ported to support the Juniper SSL VPN which is now known as Pulse Connect Secure.

OpenConnect is released under the GNU Lesser Public License, version 2.1.

Kroz ★★★★★ ()
Последнее исправление: Kroz (всего исправлений: 2)
Ответ на: комментарий от Deleted

Сервак тоже есть, но я не пробовал:


OpenConnect VPN Server

OpenConnect server (ocserv) is an SSL VPN server. Its purpose is to be a secure, small, fast and configurable VPN server. It implements the OpenConnect SSL VPN protocol, and has also (currently experimental) compatibility with clients using the AnyConnect SSL VPN protocol. The OpenConnect protocol provides a dual TCP/UDP VPN channel, and uses the

Kroz ★★★★★ ()

А что значит прикинуться https?

сервер

~ $ openssl req -x509 -newkey rsa:4096 -nodes -keyout https.key -out https.pem -days 365
...
Common Name (e.g. server FQDN or YOUR name) []:localhost
...
~ $ openssl s_server -key https.key -cert https.pem

клиент

~ $ openssl s_client -CAfile https.pem

Я прикинулся https?

surefire ★★★ ()
Последнее исправление: surefire (всего исправлений: 1)
Ответ на: комментарий от surefire

1. Клиентом устанавливается TCP соединение на 443-ий порт SSTP сервера.
2. Проходит установление SSL/TLS соединения поверх TCP соединения. Клиент проверяет сертификат сервера.
3. Проходит HTTPS приветствие.
4. Начинается установление SSTP соединения. Все SSTP пакеты идут внутри HTTPS. Клиент посылает

До SSTP устанавливается https сессия

Deleted ()
Ответ на: комментарий от Deleted

1. Лего

openssl s_server -key https.key -cert https.pem -accept 443

openssl s_client -CAfile https.pem -port 443

2. Уже проверяет. Хотя клиенту можно еще добавить -verify_return_error
3. Мы ведь уже в приватном канале, кому какая разница какое там приветствие?
4. Тоже, что и в 3.

surefire ★★★ ()
Последнее исправление: surefire (всего исправлений: 2)
Ответ на: комментарий от Deleted

Спасибо, сам уже сообразил, когда комментарий отправлял :)

anonymous ()

Линуксовый клиент не умеет обрабатывать ситуацию смены пароля. Если на сервере пароли регулярно меняются, придётся держать виртуалку с Windows.

i-rinat ★★★★★ ()
Ответ на: комментарий от Deleted

а просто поменять пароль руками - нет?

Если пользователь не может придти к серверу и поменять пароль на нём, а может только подключаться удалённо, когда-нибудь настанет неудобная ситуация. Подключаешься, а клиент пишет, что пароль не подходит. Виндовый в этом случае предлагает тебе сменить пароль прямо на месте, а в линуксовом этого я не увидел.

Хотя если ты контролируешь и клиент, и сервер, то можно. Можно вообще отключить принудительную ротацию паролей.

i-rinat ★★★★★ ()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от i-rinat

Хм, но если не подключается и ты можешь узнать обновленный пароль(пользователи win его не придумывают ведь), то что меняет поправить в конфиге?

Deleted ()
Ответ на: комментарий от Deleted

пользователи win его не придумывают ведь

Как раз и придумывают. Обычное дело. Приходишь на рабочее место, логинишься, а тебе: «пароль устарел, меняй. Пока не поменяешь, дальше не пущу». Админы срок действия пароля обычно оставляют 42 дня, по дефолту.

Тут то же самое, только удалённо.

i-rinat ★★★★★ ()
Ответ на: комментарий от i-rinat

Хм, забавно не читал про такое. Типа пароль задает не сервер а пользователь? Видимо для «Удаленных рабочих мест» виндовых фитча.

Deleted ()
Ответ на: комментарий от Deleted

Типа пароль задает не сервер а пользователь?

Конечно пароль задаёт пользователь. Когда создают учётную запись, пользователю выдают пароль. При первом же логине от него требуется придумать новый пароль. Как только срок действия пароля истекает, от него требуется придумать новый. В зависимости от настроек параноидальности могут потребовать, чтобы хеш от нового пароля не совпадал с хешами N последних паролей.

Это же вроде стандартно у всех, разве нет?

i-rinat ★★★★★ ()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от Deleted

Так вот это я и сам хотел бы выяснить. Как dpi понимает, что именно по шифрованному передается.

surefire ★★★ ()

Это относительно новый VPN-протокол, поддерживаемый в Windows, начиная с Vista. От PPTP он отличается более простыми требованиями к каналу: SSTP работает везде, где работает обычное HTTPS-соединение. И больше не нужно никакого GRE.

SSTP-сервер есть на Windows, начиная с Windows Server 2008, SSTP-сервер для Linux, на MikroTik SSTP-сервер тоже есть и прекрасно работает.

Deathstalker ★★★★★ ()
Ответ на: комментарий от Deleted

Так https же невозможно отличить от любого другого tls-соединения: ведь всё начинается с tls клиент-сервер-приветов, а что потом - постороннему неведомо. Есть только один косвенный признак: стандартный порт, который, очевидно, можно использовать и для того, чтобы косить под «https».

gag ★★★★★ ()
Ответ на: комментарий от i-rinat

Это же вроде стандартно у всех, разве нет?

Да нет, обычно пароль выдает администратор vpn сервера и меняет его сам либо по запросу клиента.

Deleted ()
Ответ на: комментарий от Deleted

Какие ещё паттерны в шифрованном потоке?

Axon ★★★★★ ()
Ответ на: комментарий от gag

Это да. Простота получения сертификата сводит все шифрование на нет. Даже пиннинг ключей не сильно рабочий (даже в теории) Разве что на основе dnssec можнл придумать что нибудь рабочее. Но все равно все сведется к доверии к корневым ключам.

redixin ★★★★ ()
Ответ на: комментарий от redixin

lol.
я ж не говорю про внедрение внутрь.
вон скайп когда ещё он был децентрализованным и защищенным, тоже умели блокировать.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.