IPSec, IPSecurity, VPN.

zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

IPSec, IPSecurity, VPN.

Post by zVlad »

VPN, когда это через паблик интернет, понятен и естественнен. Я же третью неделю бьюсь головой об это для интранет соединений.
На самом деле начал знакомится с этим почти три года назад. Запустил на одной из партиций, в zOS, эту опцию, но со всеми IP фильтрами дающими permit. Пытался срастить эту партицию с другой, но неофициально и это было не удобно, бросил.
Недавно оказалось что наши Wintel парни усраналивают peer-to-peer "тунели" между их серверами. А у нас есть немало связей между мэйнфрэйм и винтел серверами и все они не серьюр. Казалось бы в LAN это не проблема, но оказывается наш клиент очень пики на этот счет. Пришлось, с удовольствием, заняться этим дело.
Для начала я попытался связать мф с виндовз. Есть описания как это делается. Но, к сожалению, на мф это в тех описаниях делалось с помощь GUI, которых я не люблю. Попытки же сделать это "вручную", на основе составления политик в плоских файлах уперлось в непонимание весьма сложной и разветвленной архитектуры включающей сам TCP/IP, PAGENT, TMRD, IKED, NSSD. Как это все вмесре работает разобраться копаясь в сэмпле не удалось. Читаю теперь объемный мануал, экспериментируюю разбираюсь в трм что такое транспорт и туннель, при том что есть еще другие туннели, что такое конечная точка секьютрити и конечная точка данных, инкапсуляция, хидеры.
Увлекательно, однако.
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.
User avatar
Privet
Администратор
Posts: 17199
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: IPSec, IPSecurity, VPN.

Post by Privet »

zVlad wrote: 22 Jun 2019 00:44 ...
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.
Почему на OpenVPN не поставить? Сервер я ставил на Linux, клиенты есть и на Windows и на Android. На удивление, даже барахтаться не пришлось.
Привет.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Privet wrote: 23 Jun 2019 06:40
zVlad wrote: 22 Jun 2019 00:44 ...
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.
Почему на OpenVPN не поставить? Сервер я ставил на Linux, клиенты есть и на Windows и на Android. На удивление, даже барахтаться не пришлось.
Как говорил товарищ Сухов "лучше помучиться".
Но, хотя и есть у меня в zOS среда юникс и вероятно инсталяция в ней OpenVPN может (формально) пройти, но выход на сеть этой инсталяции надо будет организовывать через тот TCP/IP что имеется в zOS, а это наверняка не поддерживается OpenVPN. По крайней мере в статье на Вики zOS как платформа не указана.
Вероятно возможно выполнять OpenVPN в виртуальной машине на мф или в партиции, но для этого нужно перекомпилировать исходники и пересобрать пакет для инсталяции.
Ну и надо чтобы наши Винтельщики тоже обратили взоры на OpenVPN, а пока они только с тем что Микрософт стандартно предоставляет на Виндоуз работают.
Так что нет у меня такой возможности, да и будет такого чтобы OpenVPN когда-либо смог охватить то что есть в стандартной поставке в zOS. Я мог бы меньше барахтаться если бы у меня было GUI zOSMF. Но за это деньги надо платить, а клиент наш жмот обыкновенный, канадский. Да и мне было бы не так интересно чтобы за меня скофигурировалось все само собой, мне нужно знать каждый шаг и пощупать каждый параметр, протокол.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Кроме того VPN это когда мы хотим защитить трафик по публичному интернету, оставив трафик в своей сети незащенным.
В нашем случае есть задача защитить трафик внутри прайвет сети. Защитить каждую коммуникацию по сети и запретить то что незащищено.
Подходы к решению этих задач разные и методы разные тоже.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: IPSec, IPSecurity, VPN.

Post by Flash-04 »

Круто. Ну надо начать видимо со стека протоколов, понять кто на ком стоит/сидит. Я совершенно серьёзно, без ерничания. Заодно узнать какие vpn лучше или хуже в вашей ситуации.
VPN - параллельно паблик интернет или lan. Всё сводится к созданию "тунелей".
Not everyone believes what I believe but my beliefs do not require them to.
voyager3
Уже с Приветом
Posts: 1964
Joined: 11 Mar 2015 01:12

Re: IPSec, IPSecurity, VPN.

Post by voyager3 »

Когда-то прикрутил IKEv2 IPSec tunnel VPN к домашнему маршрутизатору под OpenWRT с заходом снаружи через DynDNS. Всё под линух, ессно, если есть конкретные вопросы, попытаюсь ответить.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: IPSec, IPSecurity, VPN.

Post by Flash-04 »

https://share.confex.com/share/121/webp ... ing%20.pdf
"Enterprise IPSec Deployment : A users experience"
by Jim Darby: Lead System Programmer AT Nordstrom
Thomas Cosenza: IBM Lab Services

вкратце как в Nordstrom внедряли IPSec для z-os и windows.
Not everyone believes what I believe but my beliefs do not require them to.
Serb
Уже с Приветом
Posts: 159
Joined: 28 Feb 2009 14:31
Location: VA

Re: IPSec, IPSecurity, VPN.

Post by Serb »

zVlad wrote: 22 Jun 2019 00:44 VPN, когда это через паблик интернет, понятен и естественнен. Я же третью неделю бьюсь головой об это для интранет соединений.
На самом деле начал знакомится с этим почти три года назад. Запустил на одной из партиций, в zOS, эту опцию, но со всеми IP фильтрами дающими permit. Пытался срастить эту партицию с другой, но неофициально и это было не удобно, бросил.
Недавно оказалось что наши Wintel парни усраналивают peer-to-peer "тунели" между их серверами. А у нас есть немало связей между мэйнфрэйм и винтел серверами и все они не серьюр. Казалось бы в LAN это не проблема, но оказывается наш клиент очень пики на этот счет. Пришлось, с удовольствием, заняться этим дело.
Для начала я попытался связать мф с виндовз. Есть описания как это делается. Но, к сожалению, на мф это в тех описаниях делалось с помощь GUI, которых я не люблю. Попытки же сделать это "вручную", на основе составления политик в плоских файлах уперлось в непонимание весьма сложной и разветвленной архитектуры включающей сам TCP/IP, PAGENT, TMRD, IKED, NSSD. Как это все вмесре работает разобраться копаясь в сэмпле не удалось. Читаю теперь объемный мануал, экспериментируюю разбираюсь в трм что такое транспорт и туннель, при том что есть еще другие туннели, что такое конечная точка секьютрити и конечная точка данных, инкапсуляция, хидеры.
Увлекательно, однако.
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.
IPsec (Ike+esp) это решение для lan-to-lan соединений . Для applicarion-to-application целесообразней использовать tls
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Serb wrote: 23 Jun 2019 20:04 ...

IPsec (Ike+esp) это решение для lan-to-lan соединений . Для applicarion-to-application целесообразней использовать tls
С этого я и начинал собственно лет 5-8 назад. Плюс AT-TLS. Но не все приложения поддерживают это и невсегда клиенту хочется платить за приложения поддерживающее это. Например за WS-FTP от Ipswitch. IPSec позволяет защитить приложения без их переделки.
Мы будем использовать IPSec (ike+esp) для host-to-host.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Flash-04 wrote: 23 Jun 2019 17:53 Круто. Ну надо начать видимо со стека протоколов, понять кто на ком стоит/сидит. Я совершенно серьёзно, без ерничания. Заодно узнать какие vpn лучше или хуже в вашей ситуации.
VPN - параллельно паблик интернет или lan. Всё сводится к созданию "тунелей".
Какие vpn лучше или хуже это конечно интересно, но в моем случае выбор ограничен тем что есть в zOS, а в нем есть все как я понимаю. Выбор будет между теми или иными вариантами кодирования и аутентификации. Все эти дела будут есть ресурсы и надо выбрать то что при меньших ресурсах даст нам приемлемый уровень защищенности от самих себя, речь то идет в пределах LAN, за файрволами.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Flash-04 wrote: 23 Jun 2019 19:08 https://share.confex.com/share/121/webp ... ing%20.pdf
"Enterprise IPSec Deployment : A users experience"
by Jim Darby: Lead System Programmer AT Nordstrom
Thomas Cosenza: IBM Lab Services

вкратце как в Nordstrom внедряли IPSec для z-os и windows.
Хороший конспект к IBM документу, который я сейчас изучаю. В этой презентации я на 30-ом слайде нахожусь.
Пролистал до конца. Того что мне бы хотелось увидет и я пока так и не нашел это готовых, работающих конфигурационных файлов для IPSec и пояснениями что в них к чему. В zOS есть самплы, но без объяснений. Поэтому иного чем чтение пары сотен страниц и приложения своих мозгов мне больше не сватит.
Все подобные презентации и мануалы из опыта применения основываются на GUI Configuration Assistance. Это обезьяний подход. Мне он не годится. Есть красная книга гораздо более подробная:

IBM z/OS V2R2 Communications Server TCP/IP Implementation: Volume 4 Security and Policy-Based Networking.
voyager3
Уже с Приветом
Posts: 1964
Joined: 11 Mar 2015 01:12

Re: IPSec, IPSecurity, VPN.

Post by voyager3 »

zVlad wrote: 23 Jun 2019 22:02
Flash-04 wrote: 23 Jun 2019 19:08 https://share.confex.com/share/121/webp ... ing%20.pdf
"Enterprise IPSec Deployment : A users experience"
by Jim Darby: Lead System Programmer AT Nordstrom
Thomas Cosenza: IBM Lab Services

вкратце как в Nordstrom внедряли IPSec для z-os и windows.
Хороший конспект к IBM документу, который я сейчас изучаю. В этой презентации я на 30-ом слайде нахожусь.
Пролистал до конца. Того что мне бы хотелось увидет и я пока так и не нашел это готовых, работающих конфигурационных файлов для IPSec и пояснениями что в них к чему. В zOS есть самплы, но без объяснений. Поэтому иного чем чтение пары сотен страниц и приложения своих мозгов мне больше не сватит.
Все подобные презентации и мануалы из опыта применения основываются на GUI Configuration Assistance. Это обезьяний подход. Мне он не годится. Есть красная книга гораздо более подробная:

IBM z/OS V2R2 Communications Server TCP/IP Implementation: Volume 4 Security and Policy-Based Networking.
Сами конфиги специфичны для реализации. Как минимум, должны быть прописаны сертификаты, адреса узлов и маска подсети, по которой заворачивать в туннель вместо отправки как есть.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Зарядил на прошлой неделе IPSec на две серьезных системы. Обе можно сказать продакшн. Сначала разрешил все всем. Потом создал "туннель" для ftp. Тунель с сертификатами, RSA Signature, и 3DES. Работает.
Теперь надо с Виндовзом научиться договариваться. Разные сервисы, например, CICS, WebSphere, DB2 запустить через ipsec.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Сегодня таки пробил "туннель" в Виндовз. На PreSharedKeys не получилось, а на сертификатах и RSA signature получилось.
Пришлось правда на мэйнфрэйм открыть все сервисы чтобы поймать то что идет с Виндовз даже для простого ftp. То что предполагалось в примерах для ftp в понимании мф не проходило. Буду в понедельник разбираться в деталях. Главное что кроме фильтрации все остальное срослось на обеих фазах.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Тема одного участника получается. Непорядок, однако.
На сегодня IPSec становится управляемой скотиной в моем зоопарке. Есть шероховатость, которую я пока не раскусил.
Естественно между мэйнфрэйм и Виндами. Смысл ее в том что установленный и работающий тунель вдруг перестает работать. Можно подождать, долго, и он восстанавливается сам собой. Найти как это пнуть чтобы заработало, или чтобы работало без пинка пока не удалось.
Возможно это где-то в тех параметрах что отслеживают жизнь тунеля и всякие рефреши, которые могут быть не согласованны.
Вообще пока есть туман некоторый, хотя многое работает если ему жить недолго надо. Типа ftp. И он, при этом, активен. Но у нас есть много "долгоживущих" процессов. Вот с ними, похоже, я пока не управляюсь.
То что "умирает" на данный момент это сессии 3270 (мф терминал) с моей воркстэйшн к мэйнфрэйм (моя ВС к МФ IPSec-ed по всем протокола и портам). Но они, увы, умирают, если их не использовать какое-то время. А спустя много времени оживают и я, пока, не могу понять от чего это зависит.
Может кто сталкивался с таким поведением в IPSec?
Откликнитесь, пожалуйста.
Я сейчас параллельно всей этой требухе покупаю (с сыном) коттедж на берегу острова на озере Симко. Ищу моторную лодку. Сдал вчера на PCOC экзамен (меньше чем за сутки с начала изучения этой темы вообще).
Голова идет кругом, но оптимизм не убывает. Как впрочем у любого приветовца. ТАГИЛ!
deev_a_v
Уже с Приветом
Posts: 4667
Joined: 07 Apr 2018 15:16

Re: IPSec, IPSecurity, VPN.

Post by deev_a_v »

zVlad wrote: 20 Jul 2019 00:20 Я сейчас параллельно всей этой требухе покупаю (с сыном) коттедж на берегу острова на озере Симко.
А почему не в Крыму?
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

deev_a_v wrote: 20 Jul 2019 02:26
zVlad wrote: 20 Jul 2019 00:20 Я сейчас параллельно всей этой требухе покупаю (с сыном) коттедж на берегу острова на озере Симко.
А почему не в Крыму?
Крым тоже будет, но позже. Я решил работать до 70 лет, может дольше. Буду посещать Крым в отпуск, который у меня довольно продолжительный, в этом году видимо брать весь не буду, перенесу на следущий год.
Мы еще "строим" (нам строят) дом в Кесвике, там же на Симко, км в пяти от берега, с которого на остров плыть и в минутах десяти пешком до ближайшего. Так что в этом году Крым/Россию пропускаю походу, увы.
А жить то надо. Там где работа, правильно? А работать надо чтобы позволять себе и коттедж, и лодку и Крым тот же.
Вот и рельсы уже проложили. Жизнь налаживается.
Да, по Крыму скучаю. Наверное даже больше чем по Челябинску. Кстати, наберите в гугле "челябинская щебенка" или "осколки метеорита развозят по дачам". Это про нас, челябинцев.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: IPSec, IPSecurity, VPN.

Post by Flash-04 »

Я думаю в итоге Крым вам не понадобится.
Not everyone believes what I believe but my beliefs do not require them to.
Easbayguy
Уже с Приветом
Posts: 10632
Joined: 17 Jul 2003 22:11

Re: IPSec, IPSecurity, VPN.

Post by Easbayguy »

Flash-04 wrote: 20 Jul 2019 16:39 Я думаю в итоге Крым вам не понадобится.
Зато внуки будут вспоминать добрым словом.
Пх'нглуи мглв'нафх Ктулху Р'лайх угахнагл фхтагн
User avatar
kyk
Уже с Приветом
Posts: 31589
Joined: 21 Nov 2004 05:12
Location: камбуз на кампусе

Re: IPSec, IPSecurity, VPN.

Post by kyk »

zVlad wrote: 20 Jul 2019 13:22 А жить то надо. Там где работа, правильно? А работать надо чтобы позволять себе и коттедж, и лодку и Крым тот же.
вот и естесственный ответ на вопрос ехать-не ехать, валить -не валить.
Проза жизни в ответ на риторику форумских пропагандистов
Лучше переесть, чем недоспать! © Обратное тоже верно :umnik1:
User avatar
liamkin
Уже с Приветом
Posts: 2603
Joined: 19 Jun 2003 20:22
Location: USA

Re: IPSec, IPSecurity, VPN.

Post by liamkin »

Если вы про туннель, то я делал. Нужен SSH сервер и клиент. Они между собой соединяются. Затем, прога (например ФТП или Оракл клиент) соединяется к локальному порту, думает что ее сервер прямо тут. А SSH client форвардит траффик на сервер, используя безопасный SSH протокол. Довольно просто, я делал под Виндами и Линуксом. На мейнфрейме тоже должно работать - нужен SSH сервер и клиент.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

liamkin wrote: 24 Jul 2019 15:26 Если вы про туннель, то я делал. Нужен SSH сервер и клиент. Они между собой соединяются. Затем, прога (например ФТП или Оракл клиент) соединяется к локальному порту, думает что ее сервер прямо тут. А SSH client форвардит траффик на сервер, используя безопасный SSH протокол. Довольно просто, я делал под Виндами и Линуксом. На мейнфрейме тоже должно работать - нужен SSH сервер и клиент.
Нет SSH это не профессионально. Надо делать клиента и сервер пол каждое приложение. Я пользовался и знаю только одно применением SSH это sftp.
IPSec гораздо более универсально и прозрачно для любых приложений использующих сети.
Основое же отличие влекущее за собой все следствия в том что SSH это приложение, а IPSec это транспорт. Иными словами для каждого приложения которое вы хотите закодировать с помощью SSH надо писать своего клиента и сервера (SSH, как известно, это секьюр telnet, не более того). В случае же IPSec любое приложение делается секьюр без каких либо дополнительных написаний.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

kyk wrote: 23 Jul 2019 20:01
zVlad wrote: 20 Jul 2019 13:22 А жить то надо. Там где работа, правильно? А работать надо чтобы позволять себе и коттедж, и лодку и Крым тот же.
вот и естесственный ответ на вопрос ехать-не ехать, валить -не валить.
Проза жизни в ответ на риторику форумских пропагандистов
Если бы у меня была работа с достойной оплатой в России то я бы никуда не ехал и не валил.
Вот и из Канады я не валю потому что есть работа и заработок.
Что там форумские пропагандисты говорят я не знаю и знать не хочу. Я не с ними полемизурую, да и вообще ни с кем.
Last edited by zVlad on 24 Jul 2019 23:46, edited 1 time in total.
zVlad
Уже с Приветом
Posts: 15311
Joined: 30 Apr 2003 16:43

Re: IPSec, IPSecurity, VPN.

Post by zVlad »

Easbayguy wrote: 23 Jul 2019 19:01
Flash-04 wrote: 20 Jul 2019 16:39 Я думаю в итоге Крым вам не понадобится.
Зато внуки будут вспоминать добрым словом.
Вряд ли. И не только потому что у меня их нет, несмотря на солидные возраста моих сыновей. Мое кредо - уходить надо в долгах. Чем больше тем правильней. Единственно чтобы дети за них не отвечали. Пусть отвечают те кто дает в долг.
Easbayguy
Уже с Приветом
Posts: 10632
Joined: 17 Jul 2003 22:11

Re: IPSec, IPSecurity, VPN.

Post by Easbayguy »

zVlad wrote: 24 Jul 2019 22:45
Easbayguy wrote: 23 Jul 2019 19:01
Flash-04 wrote: 20 Jul 2019 16:39 Я думаю в итоге Крым вам не понадобится.
Зато внуки будут вспоминать добрым словом.
Вряд ли. И не только потому что у меня их нет, несмотря на солидные возраста моих сыновей. Мое кредо - уходить надо в долгах. Чем больше тем правильней. Единственно чтобы дети за них не отвечали. Пусть отвечают те кто дает в долг.
То есть перед концом сожжете дом и все наличные на костре?
Пх'нглуи мглв'нафх Ктулху Р'лайх угахнагл фхтагн

Return to “Вопросы и новости IT”