关于ipsec vpn的思考

既然谈到ipsec，虽然我目前已经不对此太感兴趣了――为mm做核心
木马做得我每天都在想木马的事情;)，但是还是保持跟踪着发展方
向。顺便就多说两句。

freeswan的pluto支持的许多地方不尽如人意，例如nat穿越
就是一个大问题，所有的补丁都不完全解决问题，一个问题
是无法解决nat内部server，另一个问题是无法解决负载均衡
的nat的问题。为了解决这些垃圾问题，pluto代码我真是差点
改到吐血――而为了支持双nat对穿，没有manager又不行，这
有没有标准，我又不希望失去基本的兼容性。我不知道是否有
人和我一样郁闷过，对于负载均衡的nat，要处理那种floating
port(4500)的情况很有点费劲。我又要发牢骚了，如果不是因为
所谓的ike-friend nat的出现，也不至于说需要有一个floating
port

前面说的是1.9x版本。

下面说说新出来的2.0版本。
2.0版本极大的强化了dnssec的支持，但是同时在我看来――
有点偏离主题了，因为目前为止支持dnssec的只有freeswan。
而通过dnssec还只是一个draft，目前我看不到变成rfc 的希望。
令人失望的是，freeswan从来不考虑真正的需要，例如一个
能够工作的policy manage server，更好地解决nat的问题。
还有一个问题很基本，就是全动态ip的问题――没有manager
是不可能的。

关于nat-t，draft都到0.5了，我认为成为rfc的可能性比较
大了。特别是注意到这个draft是ms和cisco联手推出的。
netscreen支持的只是0.1――到去年11月为止――那时候
最新的是0.3。这反应出大公司的反应能力比较慢，同时证明
这一点的是，chkpoint那时候还不支持全动态ip的策略，即
便有manager的情况下。同样，那时候chkpoint也对nat支持
得不太好。我认为这应该是国内有自主开发实力――而不是
只能在freeswan上做个界面的那种的厂商的机会。

考虑到国内nat部署如此普及，这个问题解决不好，我认为
是影响vpn部署的一个重大因素。而幸运的是，国外并没有
这么多的nat，那里ip并不缺乏，所以他们并不特别重视这个
问题。这是一个重大的突破点。

可惜得是，国内大多数厂商都只能基于freeswan改来改去。
自己连读懂freeswan的能力都不具备，更不用说修改，移植
了。


关于policy manger，各种复杂不复杂的draft不少了，但是
我认为不会有一个成为标准。

两方面的考虑：一方面是目前
作为vpn巨鄂的chkpoint,netscreen都推出了自己的manager，
虽然似乎在国内用得很少――同时更让我觉得有趣的是，国内
部署vpn，几乎都用preshared key认证dh，即便他们买的是
netscreen/chkpoint。这些东西都是undocument。我去年11月
的安全展会上要求netscreen公开他们的manager协议。那些
老外觉得不可思议，认为要求过分。就是说，这帮人并没有
意识到这是重要的。而且他们似乎并不认为不同厂商的产品
互联是重要的。

另一方面，我认为ipsec本身的许多问题让他们不会急于制定
这样的标准。现在还有ipsec 的mib库没有制定标准，还有
nat-t的问题，等等等等。

此外，关于x509，我认为倒不是目前最重要的问题，我认为
国内要真的部署pki，还有一段路要走。而且对于大多数企业
来说，即便是大企业，pki也是一种消费不起的奢侈。

最后，但是并非不重要，我想谈论一个问题是vpn和firewall
配合的问题。让我吐血的是，居然有很多厂商都不重视。
netsrceen和chkpoint不重视也就罢了，因为他们的fw和vpn
都是一体的，而且也许他们够牛，能够让他们的用户撤掉
以前买的fw。

目前ieee小组似乎有追求完美的倾向，不过考虑到以前的
那些垃圾协议给大家造成了多少伤害我就认为慎重一点的确
是必要的，那些垃圾协议包括ftp，nat等等等等，不一而足。
想必任何一个实现过nat的兄弟都对ftp的支持感到过郁闷吧？
这种协议还多的是。ftp不过是最有名的一种而已。nat没有
具体的标准，结果实现只取决于创意，我知道的nat实现
就有n多种，如果结合具体的os上的实现，更是五花八门，
sygate和wingate的nat实现就截然不同。至于syagate和
linux2.2地实现也不同，linux2.2和2.4的又不同。我常常
除了需要分析这种nat到底是何种转换格式之外，还要分析
这个nat到底实现在核心哪个部分。

=========================================================

以上是我近些年对vpn技术和市场的跟踪，实现和观察，以及
思考。

就我个人而言，我最关心的问题是连通性――不管什么nat
都能连通；其次是兼容性――要能够和不同厂商的产品互联，
当然，那些基于manager的功能不可能指望，但是至少在
没有nat，双静态ip的情况下应该能够完美的互联起来――其实
我觉得1静态+1动态应该也能互联。甚至1静态+1动态nat应该
也能够互联，或者说至少应该跟大部分国外真正实现ike的
厂商的产品互联。

国内玩假的ipsec得太多了，我举出一个例子来吧：天融信
作为一个这么大的安全公司，居然玩假的ipsec，让我失望ing。

有些玩真的却只是简单的freeswan，还是让我失望ing。



哼哼，倚天不出，谁与争锋！！！