阅读:3589回复:8
关于ipsec vpn的思考
既然谈到ipsec,虽然我目前已经不对此太感兴趣了――为mm做核心
木马做得我每天都在想木马的事情;),但是还是保持跟踪着发展方 向。顺便就多说两句。 freeswan的pluto支持的许多地方不尽如人意,例如nat穿越 就是一个大问题,所有的补丁都不完全解决问题,一个问题 是无法解决nat内部server,另一个问题是无法解决负载均衡 的nat的问题。为了解决这些垃圾问题,pluto代码我真是差点 改到吐血――而为了支持双nat对穿,没有manager又不行,这 有没有标准,我又不希望失去基本的兼容性。我不知道是否有 人和我一样郁闷过,对于负载均衡的nat,要处理那种floating port(4500)的情况很有点费劲。我又要发牢骚了,如果不是因为 所谓的ike-friend nat的出现,也不至于说需要有一个floating port 前面说的是1.9x版本。 下面说说新出来的2.0版本。 2.0版本极大的强化了dnssec的支持,但是同时在我看来―― 有点偏离主题了,因为目前为止支持dnssec的只有freeswan。 而通过dnssec还只是一个draft,目前我看不到变成rfc 的希望。 令人失望的是,freeswan从来不考虑真正的需要,例如一个 能够工作的policy manage server,更好地解决nat的问题。 还有一个问题很基本,就是全动态ip的问题――没有manager 是不可能的。 关于nat-t,draft都到0.5了,我认为成为rfc的可能性比较 大了。特别是注意到这个draft是ms和cisco联手推出的。 netscreen支持的只是0.1――到去年11月为止――那时候 最新的是0.3。这反应出大公司的反应能力比较慢,同时证明 这一点的是,chkpoint那时候还不支持全动态ip的策略,即 便有manager的情况下。同样,那时候chkpoint也对nat支持 得不太好。我认为这应该是国内有自主开发实力――而不是 只能在freeswan上做个界面的那种的厂商的机会。 考虑到国内nat部署如此普及,这个问题解决不好,我认为 是影响vpn部署的一个重大因素。而幸运的是,国外并没有 这么多的nat,那里ip并不缺乏,所以他们并不特别重视这个 问题。这是一个重大的突破点。 可惜得是,国内大多数厂商都只能基于freeswan改来改去。 自己连读懂freeswan的能力都不具备,更不用说修改,移植 了。 关于policy manger,各种复杂不复杂的draft不少了,但是 我认为不会有一个成为标准。 两方面的考虑:一方面是目前 作为vpn巨鄂的chkpoint,netscreen都推出了自己的manager, 虽然似乎在国内用得很少――同时更让我觉得有趣的是,国内 部署vpn,几乎都用preshared key认证dh,即便他们买的是 netscreen/chkpoint。这些东西都是undocument。我去年11月 的安全展会上要求netscreen公开他们的manager协议。那些 老外觉得不可思议,认为要求过分。就是说,这帮人并没有 意识到这是重要的。而且他们似乎并不认为不同厂商的产品 互联是重要的。 另一方面,我认为ipsec本身的许多问题让他们不会急于制定 这样的标准。现在还有ipsec 的mib库没有制定标准,还有 nat-t的问题,等等等等。 此外,关于x509,我认为倒不是目前最重要的问题,我认为 国内要真的部署pki,还有一段路要走。而且对于大多数企业 来说,即便是大企业,pki也是一种消费不起的奢侈。 最后,但是并非不重要,我想谈论一个问题是vpn和firewall 配合的问题。让我吐血的是,居然有很多厂商都不重视。 netsrceen和chkpoint不重视也就罢了,因为他们的fw和vpn 都是一体的,而且也许他们够牛,能够让他们的用户撤掉 以前买的fw。 目前ieee小组似乎有追求完美的倾向,不过考虑到以前的 那些垃圾协议给大家造成了多少伤害我就认为慎重一点的确 是必要的,那些垃圾协议包括ftp,nat等等等等,不一而足。 想必任何一个实现过nat的兄弟都对ftp的支持感到过郁闷吧? 这种协议还多的是。ftp不过是最有名的一种而已。nat没有 具体的标准,结果实现只取决于创意,我知道的nat实现 就有n多种,如果结合具体的os上的实现,更是五花八门, sygate和wingate的nat实现就截然不同。至于syagate和 linux2.2地实现也不同,linux2.2和2.4的又不同。我常常 除了需要分析这种nat到底是何种转换格式之外,还要分析 这个nat到底实现在核心哪个部分。 ========================================================= 以上是我近些年对vpn技术和市场的跟踪,实现和观察,以及 思考。 就我个人而言,我最关心的问题是连通性――不管什么nat 都能连通;其次是兼容性――要能够和不同厂商的产品互联, 当然,那些基于manager的功能不可能指望,但是至少在 没有nat,双静态ip的情况下应该能够完美的互联起来――其实 我觉得1静态+1动态应该也能互联。甚至1静态+1动态nat应该 也能够互联,或者说至少应该跟大部分国外真正实现ike的 厂商的产品互联。 国内玩假的ipsec得太多了,我举出一个例子来吧:天融信 作为一个这么大的安全公司,居然玩假的ipsec,让我失望ing。 有些玩真的却只是简单的freeswan,还是让我失望ing。 哼哼,倚天不出,谁与争锋!!! |
|
|