Pull to refresh

Релиз pfSense 2.6 / pfSense Plus 22.01

Timeweb Cloud corporate blog Information Security *Network technologies *

14 февраля вышла новая версия opensource файрвола pfSense - 2.6.0. Одновременно с этим вышла версия pfSense Plus 22.01 - варианта для фирменных железок компании-разработчика Netgate, поддерживающая оборудование на базе процессоров ARM и включающая в себя некоторые дополнительные пакеты и функции.

Подразумевается, что читатель имеет определённый опыт работы с pfSense и не нуждается в подробном разъяснении, что означает тот или иной термин.

Пройдёмся по новым функциям и наиболее заметным багфиксам. Детальный список изменений можно найти на странице релиза.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 11K
Comments 5

GlobalCheck фиксирует проблемы в некоторых регионах страны с доступностью к IPsec и IKEv2 корпоративных VPN

IT Infrastructure *Network technologies *IT-companies


Сервис GlobalCheck cообщил, что в воскресенье пользователи стали жаловаться на проблемы в некоторых регионах страны с доступностью к корпоративным VPN, работающим по протоколам IPsec и IKEv2.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 20K
Comments 52

У российских пользователей возникли проблемы с сервисом Proton VPN

IT Infrastructure *Network technologies *IT-companies


1 июня 2022 года сервис Proton VPN сообщил о проблемах с доступом у российских пользователей. Компания не блокировала соединения со своей стороны.

[обновление публикации на 2 июня]: Роскомнадзор ответил на сообщения о блокировке сервиса Proton VPN. В ведомстве заявили, что средства обхода блокировок, включая Proton VPN, признаны угрозой в РФ.
Читать дальше →
Total votes 32: ↑32 and ↓0 +32
Views 68K
Comments 120

РБК: Роскомнадзор утвердительно ответил на сообщения о блокировке сервиса Proton VPN

Network technologies *Cloud services *IT-companies


2 июня 2022 года Роскомнадзор ответил на сообщения о блокировке сервиса Proton VPN. В ведомстве заявили, что средства обхода блокировок признаны угрозой в РФ и подтвердили, что в рамках закона о «суверенном» рунете ведется работа по блокировке VPN-сервисов, в том числе Proton VPN, помогающих обходить блокировки признанного в РФ запрещенным контента.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 27K
Comments 88

«Роскомсвобода» уточнила, как в РФ блокируются серверы Proton VPN

IT Infrastructure *Network technologies *IT-companies


Вечером 2 июня «Роскомсвобода» уточнила, как в РФ со стороны оборудования надзорного ведомства блокируются серверы Proton VPN.
Читать дальше →
Total votes 34: ↑33 and ↓1 +32
Views 62K
Comments 179

Минцифры запросило от ряда госкомпаний, госкорпораций и крупных банков отчёт об использовании VPN-сервисов

Information Security *System administration *IT Infrastructure *Network technologies *IT-companies


СМИ сообщили, что Минцифры попросило у ряда госкомпаний, госкорпораций и крупных банков отчитаться об использовании VPN-сервисов.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 8.8K
Comments 12

«Ростелеком» представил для корпоративных заказчиков сервис шифрования каналов связи «ГОСТ VPN»

Information Security *IT Infrastructure *Network technologies *Cloud services *IT-companies


«Ростелеком» представил операторам связи РФ, операторам ПД и госкомпаниям сервис шифрования каналов под названием «ГОСТ VPN» для построения и эксплуатации защищённых сетей. Решение «ГОСТ VPN» позволяет организовать защищённое взаимодействие между географически распределёнными объектами в любых регионах страны, а его реализация выполнена согласно требованиям российского законодательства по защите данных.
Читать дальше →
Total votes 2: ↑2 and ↓0 +2
Views 5.6K
Comments 19

VPN-сервис Surfshark перестал работать в России

Information Security *Network technologies *Cloud services *IT-companies


11 декабря 2022 года VPN-сервис Surfshark перестал работать в России. Не работает десктопное и мобильное приложение (Android, iOS) и расширение к браузеру Chrome. Пользователи жалуются, что с оплаченной подпиской они не могут подключиться ни к одной из представленных в приложении стран. В техподдержке сервиса не могут ответить по поводу остановки работы в РФ.

Работает, если сделать так, как написано на этой странице (через OpenVPN).
Читать дальше →
Total votes 28: ↑28 and ↓0 +28
Views 74K
Comments 77

Роскомнадзор прокомментировал ситуацию с блокировкой VPN-сервиса Surfshark

Information Security *Network technologies *Cloud services *IT-companies


12 декабря Роскомнадзор прокомментировал СМИ ситуацию с блокировкой VPN-сервиса Surfshark. Ведомство прямо не подтвердило, что ввело ограничения, но напомнило, что в РФ под запретом все VPN-сервисы, которые не подключены к Федеральной государственной информационной системе (ФГИС), содержащей реестр запрещённой в РФ информации.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 21K
Comments 21

Минцифры: VPN-сервисы в России «не приживаются»

Information Security *Network technologies *Cloud services *IT-companies


18 декабря 2022 года глава Минцифры Максут Шадаев в ходе заседания комитета Госдумы по информполитике заявил, что VPN-сервисы в России «не приживаются», а доля пользователей VPN-сервисами среди россиян уже некоторое время не растёт. После резкого всплеска летом этот параметр упал до мартовского-апрельского уровня.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 8.5K
Comments 19

Умер Дзюнъитиро Хагино

Biography of geeks
29 октября 2007 года умер 純一郎萩野, также известный как Itojun. Ему было 37. Дзюнъитиро активно участвовал в таких проектах как FreeBSD, NetBSD и OpenBSD. Он внёс существенный вклад в реализацию поддержки IPv6, IPsec, а также разнообразных сетевых протоколов. Он же был одним из основных разработчиков KAME.

Фото

R.I.P.
その世界で嬉しいになってください
Читать дальше →
Total votes 58: ↑56 and ↓2 +54
Views 2.2K
Comments 40

Простой способ сделать IPSec туннель от FreeBSD к Cisco

Lumber room
Начнем с того, что в манах, где рекомендуется к установке Racoon упоминается racoon1, который в FreeBSD 7.x теперь называется ipsec-toos.

поэтому

portinstall ipsec-tools

не забываем скомпилировать ядро с поддержкой ipsec:

device crypto

option IPSEC

внимание, с 7.x IPSEC_ESP указывать не нужно!
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 2.2K
Comments 3

Cisco: Порядок обработки пакетов «в сложных конфигурациях»

Cisco *
Регулярно сталкиваюсь с проблемой вспомнить, в какой последовательности
идет обработка пакета в Cisco, соответственно также регулярно ищу сей документ.

Может быть будет полезен кому-то кроме меня:

Пакет Inside−to−Outside
  1. if IPSec then check input access list
  2. decryption − for CET (Cisco EncryptionTechnology) or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. policy routing
  7. routing
  8. redirect to web cache
  9. NAT inside to outside (local to global translation)
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect (Context−based Access Control (CBAC))
  13. TCP intercept
  14. encryption
  15. queueing


Пакет Outside−to−Inside
  1. if IPSec then check input access list
  2. decryption − for CET or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. NAT outside to inside (global to local translation)
  7. policy routing
  8. routing
  9. redirect to web cache
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect CBAC
  13. TCP intercept
  14. encryption
  15. queueing


Извлечено из Cisco Document ID: 6209
Total votes 4: ↑2 and ↓2 0
Views 10K
Comments 3

«Фича» в IPSEC реализации VPN роутеров Draytek

Information Security *
Draytek — относительно новая в российском сегменте компания, занимающая нишу недорогих компактных роутеров All-in-one. Здесь и здесь можно почитать обзор двух, наиболее популярных моделей роутеров этой компании серий 2820 и 2910 (которые, кстати, позиционируются как «security firewall»). Среди остальных преимуществ данных роутеров, наиболее вкусным является аппаратная поддержка шифрования (AES/DES/3DES) и аутентификации (MD5, SHA-1), так что можно, вроде бы, настроить VPN между точками и спать спокойно. Но не всё так просто, как кажется.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 5.7K
Comments 6

В OpenBSD пока не найдено бэкдоров ФБР

Cryptography *
Ведущий разработчик OpenBSD, канадский программист и хакер Тэо де Раадт (Theo de Raadt) восстановил события десятилетней давности, когда создавался стек протоколов шифрования IPSec. Он называет имена двух основных разработчиков стека (как сейчас выяснилось, они выполняли заказы для ФБР) и пишет, что написанный ими код до сих пор используется в ключевых модулях системы и не только в IPSec.

За эту неделю участники проекта проверили часть кода и нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались. Никаких других дыр, которые могли быть бэкдорами, не найдено.

С одной стороны, проверена только малая часть кода. С другой стороны, есть основания полагать, что бэкдоров нет вообще. Разбирательство продолжается.
Читать дальше →
Total votes 37: ↑26 and ↓11 +15
Views 2.6K
Comments 14

FreeBSD и D-Link DI-804HV через IPSEC

System administration *
Sandbox
Хочу рассказать об одном из своих первых опытов общения с FreeBSD и настройке IPSEC для связи с D-Link DI-804HV и проблемах, которые возникли при этом. Надеюсь, это поможет народу не наступать на мои грабли.

Так получилось, что когда я пришел на новую работу, то в мою сферу ответственности попал сервер с FreeBSD, который был шлюзом в Интернет — на нем крутился почтовый сервер и файерволл. По предыдущей работе был опыт работы с Линуксами, но FreeBSD до этого в глаза не видел. И вот одна из первых задач на новой работе была настроить соединение с удаленным офисом через инет, для этого туда прикупили железку D-Link DI-804HV. Решено было соединить это все хозяйство через IPSEC.
Читать дальше →
Total votes 17: ↑16 and ↓1 +15
Views 16K
Comments 8

Еще раз про IPSec, racoon и стереотипное мышление

System administration *
Поводом для написания этого поста стала прочитанная мною сегодня статья хабраюзера sharptop. Просто начал писать комментарий, но он оказался очень длинным, итак: сказ о том, как мы енота разоблачали.
Читать дальше →
Total votes 12: ↑7 and ↓5 +2
Views 8.5K
Comments 26

IPsec с AmazonVPC в обход стандартных средств

Cloud computing *

Вводная и условия задачи


У нас есть Amazon VPC с несколькими подсетями.
Внутри VPC разбита на несколько подсетей.
Возьмем две из них.
В первой (посеть 10.0.0.0/24), назовоем ее net1, маршрутизацию наружу осуществляет родной Амазоновский Internet Gateway, который для каждой подсети свой. К инстансам в этой сети можно привязывать Elastic IP и они будут работать.
Вторая (подсеть 10.0.1.0/24), пусть будет net2 — полностью закрытая подсеть, доступ из которой к внешним ресурсам возможен только посредством отдельного инстанса с настроенным на нем NATом (назовем его service). Прямого доступа к этой подсети извне, кроме как через какой-либо инстанс из net1, реализовать не получится. Сам service существует так же в net1.
Внутри VPC инстансы обоих подсетей видят друг друга.
Так же, есть офисная сеть, пусть она называется net0 (подсеть 192.168.5.0/24).
Появилась необходимость обеспечить защищенный доступ из офиса к инстансам в net1 и обратно. Это можно сделать нативным для Амазона способом — с помощью Virtual Private Gateway и сопустствующим ему сервисам. Но тут есть одна проблема — маршрутизация осуществляется посредством BGP, которого на пограничном маршрутизаторе офиса нет и не предвидится. На нем есть только чистый IPsec с авторизацией по паролю. В данной ситуации надо действовать через него.
Приходит в голову следующая схема реализации: на инстансе service, который имеет доступ Интернет и ко всем инстансам внутри net1, а так же обладает Elastic IP, развернуть клиента IPSec, соединиться с офисным маршрутизатором и настроить маршрутизацию между сетями.

Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 2.7K
Comments 1

Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка

Cisco *Network technologies *

Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.


Ньюансы

  • последняя версия софта на микроте (5.20)
  • тип тоннеля на циске IPIP
  • тип трансформы «transport», вместо «tunnel»

Исходные данные

  • Cisco 2821 (OS v12.4)
  • 2. Mikrotik RB450G
  • 3. Реальные внешние IP на обоих устройствах
  • 4. Адрес циски: 77.77.77.226. Подсеть со стороны циски: 10.192.0.0/22
  • 5. Адрес микротика: 88.88.88.2. Подсеть со стороны микротика: 192.168.88.0/24

Предыстория

Столкнулся по работе с необходимостью замены серверов в наших филиалах, на что-нибудь более надёжное, аппаратное.
Связь у нас с центральным офисом осуществляется через тонели с шифрованием ipsec. В центральном офисе у нас, собственно всё на кошкообразных построено, а в большинстве филиалов стоят обычные сервера под FreeBSD, которые цепляются тонелями, с помощью racoon.
Встала задача, в связи с устареванием, выходом из строя самих серверов, начать устанавливать простые, недорогие аппаратные решения.

Братья по-разуму, коллеги и форумы натолкнули меня на изделия Mikrotik, и сразу же я направил к ним письмо следующего содержания:
Читать дальше →
Total votes 32: ↑30 and ↓2 +28
Views 133K
Comments 29

Технология HP Dynamic VPN. Часть 1

Hewlett Packard Enterprise corporate blog

Введение


Приветствую всех читателей в нашем блоге.

Этот цикл статей будет посвящен нашему замечательному решению под названием HP Dynamic VPN (или HP DVPN).

Это первая статья из цикла, и в ней я постараюсь рассказать о том, что представляет собой решение HP DVPN, а также описать его возможности и сценарии применения. В следующих статьях этого цикла речь пойдет о практической реализации возможностей DVPN и настройке самого оборудования.

Что такое DVPN?


Если кратко, то DVPN – это архитектура, которая позволяет множеству филиалов или региональных офисов (spoke) динамически создавать защищенные IPsec VPN туннели поверх любого IP транспорта для подключения к центральному офису или ЦОД (hub).

Для кого и чем это может быть полезно?

Допустим, есть некая организация, у которой имеется множество филиалов или удаленных офисов, раскиданных по всему городу или даже по всей стране (например, некий банк, или сеть магазинов, примеров таких организаций можно привести очень много). Перед нами стоит задача объединить все эти филиалы между собой с помощью одной транспортной сети, а также обеспечить возможность их подключения к центральному офису или ЦОД, в котором размещаются основные IT-ресурсы этого предприятия.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 14K
Comments 42