19-11-2012, 22:09
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
אני לא יודע אם זה רעיון טוב לעשות את הכל בבום בלי נסיון, כי אולי כן תפספס דברים...
בסופו של דבר לשרת ה VPN אמורה להיות גישה למחשבים שמאחוריו, וללקוחות באינטרנט אמורה להיות גישה רק ל IP/Port של ה daemon של ה VPN...
יש להם גירסת Appliance (מה שאתה קורא ISO) אבל היא לא חינמית. בהפצות לינוקס שונות זה קיים כחבילה מובנית במאגר החבילות של ההפצה, או כקובץ שאפשר להוריד, או להוריד קוד מקור ולקמפל (ת'אכלס שלוש פקודות בערך...). את קוד המקור ניתן להוריד כאן: http://openvpn.net/index.php/open-source/downloads.html
העבודה הטיפוסית של OpenVPN היא באמצעות הנפקת תעודות (בנייה של PKI לצורכי VPN), ולא באמצעות שמות משתמשים וסיסמאות, אפשר גם שם משתמש וסיסמא אני חושב, אבל זה בוודאי פחות בטוח מאשר הזדהות באמצעי הצפנה (וכן, אני יודע שלרוב המוצרים המסחריים לא עובדים ככה. מי אמר שהם בטוחים יותר...)
הגדרות קונפיגים של לקוח ושרת של OpenVPN (עם תעודות) ניתן למצוא כאן: http://openvpn.net/index.php/open-s...o.html#examples
אשר לניהול ה PKI, יש הסברים כאן: http://www.oreillynet.com/pub/a/sec...ns_and_pki.html (יש חבילת סקריפטים שמגיעה עם openvpn שנקראת easy-rsa, שמאוד מפשטת את העסק, פשוט להריץ את הסקריפטים השונים...)
לגבי הנושא השני, ברור לי שהדרישה הגיעה מ"אנשי אבטחת מידע" a.k.a. "אנחנו מפעילים את כל האפשרויות בג'וניפר/פורטיגייט/סיסקו שלנו ואז זה מאובטח". בהתאמה, אני מציע לך לרכוש את אחד מהנ"ל (על שלל בעיות האבטחה שלו ), כי האנשים האלה גם לא יקבלו שום פתרון אחר שתביא, ובפרט OpenVPN, שהוא, שוד ושבר, קוד פתוח "ולכן כל אחד יכול להכניס בו שינויים" (שישלחו לבזוקה...). אחרי שיפרצו להם לרשת, בטוח שיהיה תירוץ שיצדיק את זה...
|