moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
阅读:5406回复:27

一套windows下的VPN实现源码

楼主#
更多 发布于:2003-05-22 23:03
能卖多少钱? :)
按第一贴的“给分”键,给分。
lj.xd
驱动牛犊
驱动牛犊
  • 注册日期2003-05-19
  • 最后登录2003-09-22
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
沙发#
发布于:2003-05-23 09:48
MO版主,你的题目是一个鱼饵,愿探讨!

lj-xd@sohu.com
做了就不后悔!!!
Quakexg
驱动小牛
驱动小牛
  • 注册日期2001-11-21
  • 最后登录2012-02-29
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望56点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2003-05-23 09:49
我有,你出多少?
Quakexg
驱动小牛
驱动小牛
  • 注册日期2001-11-21
  • 最后登录2012-02-29
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望56点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
地板#
发布于:2003-05-23 09:50
我有,你出多少?2k的
lj.xd
驱动牛犊
驱动牛犊
  • 注册日期2003-05-19
  • 最后登录2003-09-22
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2003-05-23 09:55
我有,你出多少?2k的


先谈谈你的VPN的使用情况,若不方便: lj-xd@sohu.com
做了就不后悔!!!
Quakexg
驱动小牛
驱动小牛
  • 注册日期2001-11-21
  • 最后登录2012-02-29
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望56点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
5楼#
发布于:2003-05-23 12:28
[quote]我有,你出多少?2k的


先谈谈你的VPN的使用情况,若不方便: lj-xd@sohu.com [/quote]

移植的FREESWAN,做的客户端,和FREESWAN通信没有问题(自动密钥)
Quakexg
驱动小牛
驱动小牛
  • 注册日期2001-11-21
  • 最后登录2012-02-29
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望56点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
6楼#
发布于:2003-05-23 12:31
公司的东西吧?也拿出来卖?



这个就保密,呵呵,你想要?我看不象。
lj.xd
驱动牛犊
驱动牛犊
  • 注册日期2003-05-19
  • 最后登录2003-09-22
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
7楼#
发布于:2003-05-23 21:55
[quote][quote]我有,你出多少?2k的


移植的FREESWAN,做的客户端,和FREESWAN通信没有问题(自动密钥) [/quote]

  是WINDOWS平台吗?所有的模块你都做了:管理界面,IKE,IPSEC??
做了就不后悔!!!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
8楼#
发布于:2003-05-24 13:08
就像前面的帖子说过的,
更关键的是你买完了源码能不能作为软件卖出去?

国内的公司有这个实力做开这个市场吗?
大家都在做,价钱又杀得很低,用户还处在很容易被蒙的阶段。
判断不出来产品的价值。

我觉得在这种情况下,技术上再全的实现源码,也只能卖到60万左右的人民币。

再高是卖不了了。
按第一贴的“给分”键,给分。
lj.xd
驱动牛犊
驱动牛犊
  • 注册日期2003-05-19
  • 最后登录2003-09-22
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
9楼#
发布于:2003-05-24 23:39
就像前面的帖子说过的,
更关键的是你买完了源码能不能作为软件卖出去?

国内的公司有这个实力做开这个市场吗?
大家都在做,价钱又杀得很低,用户还处在很容易被蒙的阶段。
判断不出来产品的价值。

我觉得在这种情况下,技术上再全的实现源码,也只能卖到60万左右的人民币。

再高是卖不了了。


请问你有这套源码吗??还是仅仅讨论其价值呢??
做了就不后悔!!!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
10楼#
发布于:2003-05-25 12:26
我好象只讨论过它的价值吧?而且只是当前国内市场售价。
所以我得出的结论是,不可能买到源码。因为60万这个价格不可能作出那么复杂的东西来。
按第一贴的“给分”键,给分。
howto6666
驱动牛犊
驱动牛犊
  • 注册日期2002-11-06
  • 最后登录2004-11-08
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
11楼#
发布于:2003-05-25 14:43
你谈的东东,是我们产品的一部分啊
光有一个windows的 VPN 实现,有什么用?性能太差啊
参看
http://www.driverdevelop.com/forum/html_42338.html?1053844734


[编辑 -  5/25/03 by  howto6666]
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
12楼#
发布于:2003-05-25 16:01
你谈的东东,是我们产品的一部分啊
光有一个windows的 VPN 实现,有什么用?性能太差啊
参看
http://www.driverdevelop.com/forum/html_42338.html?1053844734


[编辑 -  5/25/03 by  howto6666]

国外公司的产品,vpn源码卖多少钱?
按第一贴的“给分”键,给分。
howto6666
驱动牛犊
驱动牛犊
  • 注册日期2002-11-06
  • 最后登录2004-11-08
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
13楼#
发布于:2003-05-26 02:47

兄弟怎么只想着买钱, 起码有以下几个途径合作。

1。产品OEM给对方,对方作市场,
2。给对方提供成熟的stack,给对方的产品加上相应得功能模块
3。合作作一个公司不都是很好吗。

目前国内的公司,什么都想自己从头作起,不会好好利用已经
有的技术资源。要知道这全套东西从头作,怎么着都是10人左右,
两年以上的开发量。还必须都是高手才行。
结果弄的产品错误和bug百出就上了市场。产品易用性就更不
提了。还有大部分都从freeswan改改,可是freeswan本来
就是先天不足,不是以终端产品为目标的。






HuYuguang
论坛版主
论坛版主
  • 注册日期2001-04-25
  • 最后登录2013-04-29
  • 粉丝3
  • 关注1
  • 积分92分
  • 威望11点
  • 贡献值0点
  • 好评度9点
  • 原创分1分
  • 专家分0分
14楼#
发布于:2003-05-26 06:22
[quote][quote]我有,你出多少?2k的


先谈谈你的VPN的使用情况,若不方便: lj-xd@sohu.com [/quote]

移植的FREESWAN,做的客户端,和FREESWAN通信没有问题(自动密钥) [/quote]



没听说过freeswan有自动密钥这么一说。

ike通过dh算法进行密钥协商。

freeswan通过preshared-key和rsa key进行密钥协商时的签名认证

打了补丁的freeswan支持x509证书的认证。


既然谈到ipsec,虽然我目前已经不对此太感兴趣了――为mm做核心
木马做得我每天都在想木马的事情;),但是还是保持跟踪着发展方
向。顺便就多说两句。

freeswan的pluto支持的许多地方不尽如人意,例如nat穿越
就是一个大问题,所有的补丁都不完全解决问题,一个问题
是无法解决nat内部server,另一个问题是无法解决负载均衡
的nat的问题。为了解决这些垃圾问题,pluto代码我真是差点
改到吐血――而为了支持双nat对穿,没有manager又不行,这
有没有标准,我又不希望失去基本的兼容性。我不知道是否有
人和我一样郁闷过,对于负载均衡的nat,要处理那种floating
port(4500)的情况很有点费劲。我又要发牢骚了,如果不是因为
所谓的ike-friend nat的出现,也不至于说需要有一个floating
port

前面说的是1.9x版本。

下面说说新出来的2.0版本。
2.0版本极大的强化了dnssec的支持,但是同时在我看来――
有点偏离主题了,因为目前为止支持dnssec的只有freeswan。
而通过dnssec还只是一个draft,目前我看不到变成rfc 的希望。
令人失望的是,freeswan从来不考虑真正的需要,例如一个
能够工作的policy manage server,更好地解决nat的问题。
还有一个问题很基本,就是全动态ip的问题――没有manager
是不可能的。

关于nat-t,draft都到0.5了,我认为成为rfc的可能性比较
大了。特别是注意到这个draft是ms和cisco联手推出的。
netscreen支持的只是0.1――到去年11月为止――那时候
最新的是0.3。这反应出大公司的反应能力比较慢,同时证明
这一点的是,chkpoint那时候还不支持全动态ip的策略,即
便有manager的情况下。同样,那时候chkpoint也对nat支持
得不太好。我认为这应该是国内有自主开发实力――而不是
只能在freeswan上做个界面的那种的厂商的机会。

考虑到国内nat部署如此普及,这个问题解决不好,我认为
是影响vpn部署的一个重大因素。而幸运的是,国外并没有
这么多的nat,那里ip并不缺乏,所以他们并不特别重视这个
问题。这是一个重大的突破点。

可惜得是,国内大多数厂商都只能基于freeswan改来改去。
自己连读懂freeswan的能力都不具备,更不用说修改,移植
了。


关于policy manger,各种复杂不复杂的draft不少了,但是
我认为不会有一个成为标准。

两方面的考虑:一方面是目前
作为vpn巨鄂的chkpoint,netscreen都推出了自己的manager,
虽然似乎在国内用得很少――同时更让我觉得有趣的是,国内
部署vpn,几乎都用preshared key认证dh,即便他们买的是
netscreen/chkpoint。这些东西都是undocument。我去年11月
的安全展会上要求netscreen公开他们的manager协议。那些
老外觉得不可思议,认为要求过分。就是说,这帮人并没有
意识到这是重要的。而且他们似乎并不认为不同厂商的产品
互联是重要的。

另一方面,我认为ipsec本身的许多问题让他们不会急于制定
这样的标准。现在还有ipsec 的mib库没有制定标准,还有
nat-t的问题,等等等等。

此外,关于x509,我认为倒不是目前最重要的问题,我认为
国内要真的部署pki,还有一段路要走。而且对于大多数企业
来说,即便是大企业,pki也是一种消费不起的奢侈。

最后,但是并非不重要,我想谈论一个问题是vpn和firewall
配合的问题。让我吐血的是,居然有很多厂商都不重视。
netsrceen和chkpoint不重视也就罢了,因为他们的fw和vpn
都是一体的,而且也许他们够牛,能够让他们的用户撤掉
以前买的fw。

目前ieee小组似乎有追求完美的倾向,不过考虑到以前的
那些垃圾协议给大家造成了多少伤害我就认为慎重一点的确
是必要的,那些垃圾协议包括ftp,nat等等等等,不一而足。
想必任何一个实现过nat的兄弟都对ftp的支持感到过郁闷吧?
这种协议还多的是。ftp不过是最有名的一种而已。nat没有
具体的标准,结果实现只取决于创意,我知道的nat实现
就有n多种,如果结合具体的os上的实现,更是五花八门,
sygate和wingate的nat实现就截然不同。至于syagate和
linux2.2地实现也不同,linux2.2和2.4的又不同。我常常
除了需要分析这种nat到底是何种转换格式之外,还要分析
这个nat到底实现在核心哪个部分。

=========================================================

以上是我近些年对vpn技术和市场的跟踪,实现和观察,以及
思考。

就我个人而言,我最关心的问题是连通性――不管什么nat
都能连通;其次是兼容性――要能够和不同厂商的产品互联,
当然,那些基于manager的功能不可能指望,但是至少在
没有nat,双静态ip的情况下应该能够完美的互联起来――其实
我觉得1静态+1动态应该也能互联。甚至1静态+1动态nat应该
也能够互联,或者说至少应该跟大部分国外真正实现ike的
厂商的产品互联。

国内玩假的ipsec得太多了,我举出一个例子来吧:天融信
作为一个这么大的安全公司,居然玩假的ipsec,让我失望ing。

有些玩真的却只是简单的freeswan,还是让我失望ing。



哼哼,倚天不出,谁与争锋!!!

不再回忆从前,我已经生活在幸福当中。
Quakexg
驱动小牛
驱动小牛
  • 注册日期2001-11-21
  • 最后登录2012-02-29
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望56点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
15楼#
发布于:2003-05-26 09:14
[quote][quote][quote]我有,你出多少?2k的


移植的FREESWAN,做的客户端,和FREESWAN通信没有问题(自动密钥) [/quote]

  是WINDOWS平台吗?所有的模块你都做了:管理界面,IKE,IPSEC?? [/quote]

不好意思,周末没有上来,管理界面,IKE,IPSEC 都做了!
Quakexg
驱动小牛
驱动小牛
  • 注册日期2001-11-21
  • 最后登录2012-02-29
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望56点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
16楼#
发布于:2003-05-26 09:17
[quote][quote]公司的东西吧?也拿出来卖?



这个就保密,呵呵,你想要?我看不象。
 [/quote]
是啊,我拿来有什么用呢?除非再次卖钱:)
想来也是公司的东西了,私人谁那么有精神做这么复杂的一个系统?
不过希望你不要惹上官司才好。 [/quote]

哈哈,错了,有人找我做的,其实现在看来也不难,就3块而已,管理界面最简单,驱动IPSEC其次,就IKE麻烦点。
Quakexg
驱动小牛
驱动小牛
  • 注册日期2001-11-21
  • 最后登录2012-02-29
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望56点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
17楼#
发布于:2003-05-26 10:07
[quote][quote][quote]我有,你出多少?2k的


先谈谈你的VPN的使用情况,若不方便: lj-xd@sohu.com [/quote]

移植的FREESWAN,做的客户端,和FREESWAN通信没有问题(自动密钥) [/quote]



没听说过freeswan有自动密钥这么一说。

ike通过dh算法进行密钥协商。

freeswan通过preshared-key和rsa key进行密钥协商时的签名认证

打了补丁的freeswan支持x509证书的认证。


既然谈到ipsec,虽然我目前已经不对此太感兴趣了――为mm做核心
木马做得我每天都在想木马的事情;),但是还是保持跟踪着发展方
向。顺便就多说两句。

freeswan的pluto支持的许多地方不尽如人意,例如nat穿越
就是一个大问题,所有的补丁都不完全解决问题,一个问题
是无法解决nat内部server,另一个问题是无法解决负载均衡
的nat的问题。为了解决这些垃圾问题,pluto代码我真是差点
改到吐血――而为了支持双nat对穿,没有manager又不行,这
有没有标准,我又不希望失去基本的兼容性。我不知道是否有
人和我一样郁闷过,对于负载均衡的nat,要处理那种floating
port(4500)的情况很有点费劲。我又要发牢骚了,如果不是因为
所谓的ike-friend nat的出现,也不至于说需要有一个floating
port

前面说的是1.9x版本。

下面说说新出来的2.0版本。
2.0版本极大的强化了dnssec的支持,但是同时在我看来――
有点偏离主题了,因为目前为止支持dnssec的只有freeswan。
而通过dnssec还只是一个draft,目前我看不到变成rfc 的希望。
令人失望的是,freeswan从来不考虑真正的需要,例如一个
能够工作的policy manage server,更好地解决nat的问题。
还有一个问题很基本,就是全动态ip的问题――没有manager
是不可能的。

关于nat-t,draft都到0.5了,我认为成为rfc的可能性比较
大了。特别是注意到这个draft是ms和cisco联手推出的。
netscreen支持的只是0.1――到去年11月为止――那时候
最新的是0.3。这反应出大公司的反应能力比较慢,同时证明
这一点的是,chkpoint那时候还不支持全动态ip的策略,即
便有manager的情况下。同样,那时候chkpoint也对nat支持
得不太好。我认为这应该是国内有自主开发实力――而不是
只能在freeswan上做个界面的那种的厂商的机会。

考虑到国内nat部署如此普及,这个问题解决不好,我认为
是影响vpn部署的一个重大因素。而幸运的是,国外并没有
这么多的nat,那里ip并不缺乏,所以他们并不特别重视这个
问题。这是一个重大的突破点。

可惜得是,国内大多数厂商都只能基于freeswan改来改去。
自己连读懂freeswan的能力都不具备,更不用说修改,移植
了。


关于policy manger,各种复杂不复杂的draft不少了,但是
我认为不会有一个成为标准。

两方面的考虑:一方面是目前
作为vpn巨鄂的chkpoint,netscreen都推出了自己的manager,
虽然似乎在国内用得很少――同时更让我觉得有趣的是,国内
部署vpn,几乎都用preshared key认证dh,即便他们买的是
netscreen/chkpoint。这些东西都是undocument。我去年11月
的安全展会上要求netscreen公开他们的manager协议。那些
老外觉得不可思议,认为要求过分。就是说,这帮人并没有
意识到这是重要的。而且他们似乎并不认为不同厂商的产品
互联是重要的。

另一方面,我认为ipsec本身的许多问题让他们不会急于制定
这样的标准。现在还有ipsec 的mib库没有制定标准,还有
nat-t的问题,等等等等。

此外,关于x509,我认为倒不是目前最重要的问题,我认为
国内要真的部署pki,还有一段路要走。而且对于大多数企业
来说,即便是大企业,pki也是一种消费不起的奢侈。

最后,但是并非不重要,我想谈论一个问题是vpn和firewall
配合的问题。让我吐血的是,居然有很多厂商都不重视。
netsrceen和chkpoint不重视也就罢了,因为他们的fw和vpn
都是一体的,而且也许他们够牛,能够让他们的用户撤掉
以前买的fw。

目前ieee小组似乎有追求完美的倾向,不过考虑到以前的
那些垃圾协议给大家造成了多少伤害我就认为慎重一点的确
是必要的,那些垃圾协议包括ftp,nat等等等等,不一而足。
想必任何一个实现过nat的兄弟都对ftp的支持感到过郁闷吧?
这种协议还多的是。ftp不过是最有名的一种而已。nat没有
具体的标准,结果实现只取决于创意,我知道的nat实现
就有n多种,如果结合具体的os上的实现,更是五花八门,
sygate和wingate的nat实现就截然不同。至于syagate和
linux2.2地实现也不同,linux2.2和2.4的又不同。我常常
除了需要分析这种nat到底是何种转换格式之外,还要分析
这个nat到底实现在核心哪个部分。

=========================================================

以上是我近些年对vpn技术和市场的跟踪,实现和观察,以及
思考。

就我个人而言,我最关心的问题是连通性――不管什么nat
都能连通;其次是兼容性――要能够和不同厂商的产品互联,
当然,那些基于manager的功能不可能指望,但是至少在
没有nat,双静态ip的情况下应该能够完美的互联起来――其实
我觉得1静态+1动态应该也能互联。甚至1静态+1动态nat应该
也能够互联,或者说至少应该跟大部分国外真正实现ike的
厂商的产品互联。

国内玩假的ipsec得太多了,我举出一个例子来吧:天融信
作为一个这么大的安全公司,居然玩假的ipsec,让我失望ing。

有些玩真的却只是简单的freeswan,还是让我失望ing。



哼哼,倚天不出,谁与争锋!!!

 [/quote]

看了上面的文字,对斑竹在这方面的理解程度表示敬意,我接触的时间不算很长,但也不短,但是觉得斑竹考虑的东西比我多了许多。

想不到,当初看到这个题目进来的一句戏言引起有人说我拿公司的东西在这里怎么怎么,心里有点气,现在都弄成这样,不是本意,不是本意!

有几点需要说明,使用VPN可以有2中方法产生SA,一是用户手工指定(我称为手工密钥),一是用IKE在用是生成(我称为自动密钥),我的“自动密钥”,指的就是这个意思。

freeswan无法解决nat内部server?
我在网关内架了FTP,HTTP,通过VPN拨号客户端都可以啊!我的是1。97版,关键是网关上防火墙配置!

部署pki确实是目前不切实际的,或者说,没有多少企业部署了。虽然说PRESHARE KEY不安全,但是我想了办法,让它不被用户看到,这样只有一个人(管理员)是知道PRESHARE KEY的,算安全吧。对于斑竹对这方面的看法我真是很佩服。

至于双动态IP,好象实现的也确实少(我没有见过),没有SERVER怎么做?但是支持动态客户端FREESWAN还是没有问题的。它的配置就可以看出来能支持动态IP啊。

天融信据说用了19个人,花了2年时间做的VPN,该不会是假的吧?我没有调查过,不好发言。呵呵,不过到确实有许多不切实际的,我所看到的VPN客户端都说支持数字证书,可是有几个人用?

我接触的IPSEC东西也不多,就FREESWAN 和 BSD 下的RACOON,不过我觉得好象FREESWAN 还是不错的,有许多的技术内容,而且实现都比较稳定,也能和RACOON互通,虽然算法只用3DES,呵呵。

向斑竹致敬!
题外话:其实,到现在没有技术能难住我,可是我还是强烈感到,做技术真是让人悲啊!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
18楼#
发布于:2003-05-26 10:44

兄弟怎么只想着买钱, 起码有以下几个途径合作。

1。产品OEM给对方,对方作市场,
2。给对方提供成熟的stack,给对方的产品加上相应得功能模块
3。合作作一个公司不都是很好吗。

目前国内的公司,什么都想自己从头作起,不会好好利用已经
有的技术资源。要知道这全套东西从头作,怎么着都是10人左右,
两年以上的开发量。还必须都是高手才行。
结果弄的产品错误和bug百出就上了市场。产品易用性就更不
提了。还有大部分都从freeswan改改,可是freeswan本来
就是先天不足,不是以终端产品为目标的。






 


你说的实际上正是我想说的,
实际上,想ipsec vpn这样复杂的东西,就我的理解,要源码是没有什么大意义的。
你说的两年*10高手的开发量,我以为真是说少了。
按第一贴的“给分”键,给分。
fracker
驱动太牛
驱动太牛
  • 注册日期2001-06-28
  • 最后登录2021-03-30
  • 粉丝0
  • 关注0
  • 积分219分
  • 威望81点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分1分
  • 社区居民
19楼#
发布于:2003-05-26 11:40
[quote][quote][quote][quote]我有,你出多少?2k的


先谈谈你的VPN的使用情况,若不方便: lj-xd@sohu.com [/quote]

移植的FREESWAN,做的客户端,和FREESWAN通信没有问题(自动密钥) [/quote]



没听说过freeswan有自动密钥这么一说。

ike通过dh算法进行密钥协商。

freeswan通过preshared-key和rsa key进行密钥协商时的签名认证

打了补丁的freeswan支持x509证书的认证。


既然谈到ipsec,虽然我目前已经不对此太感兴趣了――为mm做核心
木马做得我每天都在想木马的事情;),但是还是保持跟踪着发展方
向。顺便就多说两句。

freeswan的pluto支持的许多地方不尽如人意,例如nat穿越
就是一个大问题,所有的补丁都不完全解决问题,一个问题
是无法解决nat内部server,另一个问题是无法解决负载均衡
的nat的问题。为了解决这些垃圾问题,pluto代码我真是差点
改到吐血――而为了支持双nat对穿,没有manager又不行,这
有没有标准,我又不希望失去基本的兼容性。我不知道是否有
人和我一样郁闷过,对于负载均衡的nat,要处理那种floating
port(4500)的情况很有点费劲。我又要发牢骚了,如果不是因为
所谓的ike-friend nat的出现,也不至于说需要有一个floating
port

前面说的是1.9x版本。

下面说说新出来的2.0版本。
2.0版本极大的强化了dnssec的支持,但是同时在我看来――
有点偏离主题了,因为目前为止支持dnssec的只有freeswan。
而通过dnssec还只是一个draft,目前我看不到变成rfc 的希望。
令人失望的是,freeswan从来不考虑真正的需要,例如一个
能够工作的policy manage server,更好地解决nat的问题。
还有一个问题很基本,就是全动态ip的问题――没有manager
是不可能的。

关于nat-t,draft都到0.5了,我认为成为rfc的可能性比较
大了。特别是注意到这个draft是ms和cisco联手推出的。
netscreen支持的只是0.1――到去年11月为止――那时候
最新的是0.3。这反应出大公司的反应能力比较慢,同时证明
这一点的是,chkpoint那时候还不支持全动态ip的策略,即
便有manager的情况下。同样,那时候chkpoint也对nat支持
得不太好。我认为这应该是国内有自主开发实力――而不是
只能在freeswan上做个界面的那种的厂商的机会。

考虑到国内nat部署如此普及,这个问题解决不好,我认为
是影响vpn部署的一个重大因素。而幸运的是,国外并没有
这么多的nat,那里ip并不缺乏,所以他们并不特别重视这个
问题。这是一个重大的突破点。

可惜得是,国内大多数厂商都只能基于freeswan改来改去。
自己连读懂freeswan的能力都不具备,更不用说修改,移植
了。


关于policy manger,各种复杂不复杂的draft不少了,但是
我认为不会有一个成为标准。

两方面的考虑:一方面是目前
作为vpn巨鄂的chkpoint,netscreen都推出了自己的manager,
虽然似乎在国内用得很少――同时更让我觉得有趣的是,国内
部署vpn,几乎都用preshared key认证dh,即便他们买的是
netscreen/chkpoint。这些东西都是undocument。我去年11月
的安全展会上要求netscreen公开他们的manager协议。那些
老外觉得不可思议,认为要求过分。就是说,这帮人并没有
意识到这是重要的。而且他们似乎并不认为不同厂商的产品
互联是重要的。

另一方面,我认为ipsec本身的许多问题让他们不会急于制定
这样的标准。现在还有ipsec 的mib库没有制定标准,还有
nat-t的问题,等等等等。

此外,关于x509,我认为倒不是目前最重要的问题,我认为
国内要真的部署pki,还有一段路要走。而且对于大多数企业
来说,即便是大企业,pki也是一种消费不起的奢侈。

最后,但是并非不重要,我想谈论一个问题是vpn和firewall
配合的问题。让我吐血的是,居然有很多厂商都不重视。
netsrceen和chkpoint不重视也就罢了,因为他们的fw和vpn
都是一体的,而且也许他们够牛,能够让他们的用户撤掉
以前买的fw。

目前ieee小组似乎有追求完美的倾向,不过考虑到以前的
那些垃圾协议给大家造成了多少伤害我就认为慎重一点的确
是必要的,那些垃圾协议包括ftp,nat等等等等,不一而足。
想必任何一个实现过nat的兄弟都对ftp的支持感到过郁闷吧?
这种协议还多的是。ftp不过是最有名的一种而已。nat没有
具体的标准,结果实现只取决于创意,我知道的nat实现
就有n多种,如果结合具体的os上的实现,更是五花八门,
sygate和wingate的nat实现就截然不同。至于syagate和
linux2.2地实现也不同,linux2.2和2.4的又不同。我常常
除了需要分析这种nat到底是何种转换格式之外,还要分析
这个nat到底实现在核心哪个部分。

=========================================================

以上是我近些年对vpn技术和市场的跟踪,实现和观察,以及
思考。

就我个人而言,我最关心的问题是连通性――不管什么nat
都能连通;其次是兼容性――要能够和不同厂商的产品互联,
当然,那些基于manager的功能不可能指望,但是至少在
没有nat,双静态ip的情况下应该能够完美的互联起来――其实
我觉得1静态+1动态应该也能互联。甚至1静态+1动态nat应该
也能够互联,或者说至少应该跟大部分国外真正实现ike的
厂商的产品互联。

国内玩假的ipsec得太多了,我举出一个例子来吧:天融信
作为一个这么大的安全公司,居然玩假的ipsec,让我失望ing。

有些玩真的却只是简单的freeswan,还是让我失望ing。



哼哼,倚天不出,谁与争锋!!!

 [/quote]

看了上面的文字,对斑竹在这方面的理解程度表示敬意,我接触的时间不算很长,但也不短,但是觉得斑竹考虑的东西比我多了许多。

想不到,当初看到这个题目进来的一句戏言引起有人说我拿公司的东西在这里怎么怎么,心里有点气,现在都弄成这样,不是本意,不是本意!

有几点需要说明,使用VPN可以有2中方法产生SA,一是用户手工指定(我称为手工密钥),一是用IKE在用是生成(我称为自动密钥),我的“自动密钥”,指的就是这个意思。

freeswan无法解决nat内部server?
我在网关内架了FTP,HTTP,通过VPN拨号客户端都可以啊!我的是1。97版,关键是网关上防火墙配置!

部署pki确实是目前不切实际的,或者说,没有多少企业部署了。虽然说PRESHARE KEY不安全,但是我想了办法,让它不被用户看到,这样只有一个人(管理员)是知道PRESHARE KEY的,算安全吧。对于斑竹对这方面的看法我真是很佩服。

至于双动态IP,好象实现的也确实少(我没有见过),没有SERVER怎么做?但是支持动态客户端FREESWAN还是没有问题的。它的配置就可以看出来能支持动态IP啊。

天融信据说用了19个人,花了2年时间做的VPN,该不会是假的吧?我没有调查过,不好发言。呵呵,不过到确实有许多不切实际的,我所看到的VPN客户端都说支持数字证书,可是有几个人用?

我接触的IPSEC东西也不多,就FREESWAN 和 BSD 下的RACOON,不过我觉得好象FREESWAN 还是不错的,有许多的技术内容,而且实现都比较稳定,也能和RACOON互通,虽然算法只用3DES,呵呵。

向斑竹致敬!
题外话:其实,到现在没有技术能难住我,可是我还是强烈感到,做技术真是让人悲啊! [/quote]

气什么?想不到我好心提醒你,你这么想。我删贴,当我没说。
上一页
游客

返回顶部