Вопрос по VPN

De$igner писал:

Насколько я понял, ВПН - это фикция, иллюзия безопасности за деньги и расшифровывается толковым админом за относительно короткий промежуток времени. Другое дело - ОпенВПН.

В точку.

Господа, а есть ли альтернатива OpenVPN?

De$igner писал:

ВПН... ВПН.... спаси свою задницу... бля :/

Не путай ПЛЗ... Задницу спасают в соседнем топике -- выбирают анальную смазку

sAx писал:

Не путай ПЛЗ... Задницу спасают в соседнем топике -- выбирают анальную смазку

Учитывая факт лёгкой дешифруемости ВПНа,
анальную смазку должны предоставлять бонусом каждому клиенту.

Насколько я понял, некоторые из присутствующих одной левой ногой раскриптовывают виндовый впн? Меня очень интересует практическая возможность осуществления этого процесса (софт, материалы).
Я пока не согласен с тем, что эту проблему может решить хороший админ, я бы сказал, что эту проблему может решить хороший криптограф.
Может кто-нибудь подкинет линки для осмысления?
p.s. про dns уязвимость знаю, она не в счёт.

А зачем его раскриптовывать ?
Достаточно перехватить соединение на стадии его установки на свой сервер. И все. Наступает момент наслаждения.

Так что криптографы тут совершенно не при чем.

phantom писал:

А зачем его раскриптовывать ? Достаточно перехватить соединение на стадии его установки на свой сервер. И все. Наступает момент наслаждения. Так что криптографы тут совершенно не при чем.

Вы чо думаете, что если вначале установке соединения перехватите ключи, то это даст вам возможность расшифровать трафик? Это ещё никому не удавалась.

почитал вот комменты и такое впечатление сложилось, что этот ВПН вообще нафиг никому не нада.. мол выкинутые бабки что ли... хотя в одну цену, что ВПН что ОпенВПН - 10 баксов... а точнее 10 за оба... и какой тогда смысл вообще людям предоставлять такую услугу...

SergejS, phantom мдя ребята. а кто прав то?

werless: вот и мне интересно...зачем предоставлять услугу VPN, если траф знающему челу расшифровать нет проблем...

SergejS писал:

Вы чо думаете, что если вначале установке соединения перехватите ключи, то это даст вам возможность расшифровать трафик? Это ещё никому не удавалась.

Учимся читать с самого начала.
О каких ключах идет речь ?

phantom писал:

Учимся читать с самого начала. О каких ключах идет речь ?

Там не только можно ключи перехватить, но и сертификаты. А что вы имели ввиду, под фразой "Достаточно перехватить соединение на стадии его установки на свой сервер"? Что вы там собрались перехватывать, если вы да же и что то перехватите, это не даст возможность расшифровать трафик.

SergejS писал:

Там не только можно ключи перехватить, но и сертификаты. А что вы имели ввиду, под фразой "Достаточно перехватить соединение на стадии его установки на свой сервер"? Что вы там собрались перехватывать, если вы да же и что то перехватите, это не даст возможность расшифровать трафик.

Это значит авторизовать клиента на своем сервере.

Woot писал:

SergejS, phantom мдя ребята. а кто прав то? werless: вот и мне интересно...зачем предоставлять услугу VPN, если траф знающему челу расшифровать нет проблем...

Да я не задавался целью определить кто прав, а кто нет.
Пишу о том что было проделано мною и не раз.

phantom: хорошо, а на вопрос ghood мог бы ответить?

Woot писал:

phantom: хорошо, а на вопрос ghood мог бы ответить?

Это про линки для осмысления ?
Если действительно хотите разобраться в вопросе - почитайте Opennet.ru
для того, что бы осмыслить как поднять сервер для pptp соединения.
А после того как поймете всю эту кухню, приплюсуете сюда начальные знания маршрутизации и все у вас получится.

всем +6.

phantom: за ссылку отдельное спасибо.

кто-нить еще полезную инфу подкинет по теме?

я вот взял ВПН у конторы опенвпн.биз, мне суппорт на вопрос: какая разница между ВПН и ОпенВПН и какие в них перспективы, скинул ссылки на их форум с объяснениями:
openvpn.biz/forum/viewtopic.php?t=15

phantom: повторю вопрос ещё раз.

У атакующего нету возможности получить доступ к серверу VPN.
У атакующего есть возможность прослушать траффик, который идёт от защищённого клиента к серверу.

Код:

Клиент <==============================> Сервер              ^^^^^^^^^^^^^^^^^               Атакующий слушает

Вопрос. Кто нибудь имеет информацию о реально существующем софте, который позволяет расшифровывать ms pptp? Именно расшифровывать.
В принципе коллекцию ссылок на мат. уязвимости я уже насобирал. но на мой взгляд брутфорс даже при использовании всех этих уязвимостей всё-таки достаточно трудоёмкое занятие. Any comments?

Зачем ему доступ то ?
Не нужен он.
Если это действительно кому-то надо, и он имеет доступ к вашему трафу - то логично предположить что он имеет доступ к таблице маршрутизации на том самом узле где он это видит. Что он делает ?
Да все просто - на соседнюю машину прописывает ip адрес вашего VPN сервера, поднимает на нем VPN сервер, поправляет роутинг - и все ваши пакеты предназначенные для какого то далекого VPN сервера идут к этому админу.
В итоге устанавливая соединение VPN вы соединяетесь не со своим сервером VPN а с лже-сервером. И соответственно на нем весь ваш траф открыт. Что и требовалось.

Если каждый раз проверять какие вам адреса выдаются, да с каких адресов вы в инете сидите через VPN - есть все шансы заметить эту подставу.

Но если человек грамотный - он одновременно с этой подставной машины поднимет сессию на ваш честный VPN сервер, и тогда вы точно ничего не заметите.

Замечу что это самое простое, самое безгеморойное и самое надежное решение.

Woot писал:

Господа, а есть ли альтернатива OpenVPN?

есть. IPSec

Лейла писал:

есть. IPSec

Я бы назвал эту альтернативу довольно сомнительной.
Все упирается в процесс настройки клиентской части, и надо заметить для обычного человека это ой как непросто. Плюс полное отсутствие гибкости. С точки зрения негибкости - это скорее альтернатива pptp, нежели OpenVPN-у.

Раз уж сюда пришла лейла - подскажи связку VPN клиент-сервера для работы через GPRS с PocketPC (Win mobile 2003 SE). Интересуют любые варианты, с учетом того что это GPRS со всеми вытекающими в виде зарезаных портов.

Люди, что происходит, когда через vpn создается SSL соединение с каким нибудь сайтом и вводятся секретные данные. Эти данные остаются закрытыми для vpn провайдера ? Т.Е. не опасно ли пользоваться подобными услугами ? Одно дело обыкновенный официально открытый провайдер, а другое дело закрытые люди которые занимаются впном. У провайдера море клиентов, там ты как иголка в море, а у впнщиков... . Одним словом, не получится ли, что подписавшись под впншиков, ты оповещаешь всех хакеров и ментов, что на тебя стоит обратить внимание ?

vpn провайдер видит весь трафик проходящий через vpn.
ssl никак не связан в vpn, соответственно vpn провайдер видит трафик зашифрованный.
ssl можно смело пользоваться и без всяких vpn'ов

Спасибо за ответ на первую, часть вопроса. надеюсь на ответ по второй.

P.S: ясное дело, что ssl можно прользоваться без vpn, лишь бы после того как ssl соединеие пройдет через vpn шлюз, мы с админом vpn не стали бы пользоваться тем же ssl соединеним с одними и теми же паролями.