Kan iemand me de TLDR-versie van IPSEC geven en gebruikt iemand dit? Alle bedrijven waar ik ooit heb gewerkt, doen dat niet.
Lachwekkend topic. Bij welke en hoeveel bedrijven heb je gewerkt?
Ipsec is het meest voorkomende VPN-protocol. Vooral voor site-to-site.
Het is soms een gevecht om het te configureren omdat er zoveel verschillende opties, leveranciers zijn en niemand echt goed samenwerkt. Ik zocht vroeger KB’s op over hoe een Sonicwall VPN zou doen naar een Cisco, etc. OpenVPN is handig om mee te werken als iedereen Linux gebruikt of OpenVPN op Windows. Bij mijn oude baan had ik zo’n 15 site-to-site tunnels met al onze klanten en ze hadden allemaal verschillende apparatuur (Linksys, Cisco, SonicWall, Linux, enz.). Ik mis die baan niet.
Ik denk dat veel Windows-beheerders iets doen als PPTP (wat niet heel veilig is) omdat het ingebouwd is in Windows en “gewoon werkt.” Voor site-to-site of meer veilige vereisten gebruiken mensen waarschijnlijk IPsec.
Meer info hier: http://www.giganews.com/vyprvpn/compare-vpn-protocols.html
Kort samengevat: ipsec is best lastig om te gebruiken aan de clientkant omdat je een derde partij client moet installeren. Ik ben overgestapt op L2TP voor makkelijk OSX en Android support en omdat de ingebouwde MS VPN-client het ondersteunt. L2TP is ingekapseld IPsec en heel makkelijk te gebruiken en gaat goed om met NAT. Er is wel een prestatieverlies, maar voor klanten die verbinden met het netwerk maakt dat niet zoveel uit omdat onze WAN-snelheid niet geweldig is.
Eerlijk gezegd is beveiliging net zo’n religie als wetenschap. Veel mensen gebruiken alleen Cisco’s IPsec-implementatie en client. Of alleen OpenVPN. Ik denk dat dat wat overdreven is. L2TP is niet slecht. PPTP verdwijnt waarschijnlijk, zelfs MS raadt aan over te stappen op IPsec en L2TP.
Sommige mensen gebruiken browserplug-in gebaseerde SSL-tunnels, maar ik heb er geen ervaring mee. Ik vind het slecht dat je afhankelijk bent van de browserplug-in die bij een update kan breken of Java-apps. Er zullen enorme prestatietekorten zijn met geïnterpreteerde code versus native code.
Kortom: als je L2TP gebruikt of site-to-site of een Cisco- of SonicWall-client, gebruik je IPsec.
Dat is een slechte vraag. IPSec kan voor veel dingen gebruikt worden, maar ik neem aan dat je het hebt over VPN-verbindingen of point-to-point verbindingen.
Als je nog nooit bij een bedrijf hebt gewerkt dat een VPN gebruikt, zou ik dat heel verrassend vinden. Als je vraagt waarom IPSec/L2TP in plaats van PPTP - het korte antwoord is dat PPTP ongeveer zo veilig is als WEP, wat betekent dat het helemaal niet veilig is.
Aangezien dit een sysadmin subreddit is, neem ik aan dat jij een sysadmin bent en geen netwerkingenieur.
Netwerk gebruikt IPSEC voor VPNs overal; dat en SSL voor VPN. Dus in netwerkapparaten wordt het vaak geconfigureerd.
Wat servers betreft, zie je het waarschijnlijk niet vaak geconfigureerd.
Ik denk niet dat het meer uitgelegd kan worden dan dat.
Al onze VPN-tunnels zijn IPsec omdat het ons snellere snelheden geeft dan SSL VPN-tunnels, maar hoe je IPsec precies gebruikt?
Wat iedereen anders zegt. Het bestaat in twee verschillende versies. IPSECv1 is oude VPN (sommige plaatsen doen dat nog) en wordt veel gebruikt voor beveiligingsnetwerken tussen sites via internet. IPSECv2 is nieuwer, en minder gebruikt sinds SSL-gebaseerde VPN’s de overhand krijgen vanwege coffeeshophaters op IPSEC.
IPSec bestaat uit twee onderdelen: ISAKMP (ook fase 1 genoemd) en IPSEC (fase 2). In ISAKMP vergelijken de twee eindpunten (of het nu een client, server of netwerkapparaat is) bekende algoritmen en stemmen ze af op encryptie, een hash-algoritme en zorgen ervoor dat de sleutels overeenkomen. Als je punt-naar-punt doet, bevestigen ze vooraf dat ze met een bekende eindpunt praten.
Dan komt IPSec in beeld; dit is een mooie tunnel die één lokaal netwerk aan de andere kant presenteert. Dus als je conecteert op 10.0.0.0/24 en je bent op 192.168.1.0/24, krijg je statische routes (ingepakt door de client die de verbinding afhandelt) naar het externe netwerk. Dit gaat via een tweede, nog veiligere encryptielaag (meestal AES256 of 3DES) met extra hash-algoritmen om slechte pakketten te voorkomen.
Iedereen lijkt ervan uit te gaan dat je VPN-gebruik van IPSEC bedoelt. Bedoel je de Microsoft-aanbeveling om IPSEC te gebruiken voor veilige communicatie tussen server en server en server en client binnen een LAN? Lasten van de Windows Server-whitepapers uit 2000-2003, als ik me goed herinner.
Ik heb niet gewerkt voor een bedrijf dat geen IPSEC gebruikt.
TeliaSonera en haar dochterbedrijven gebruiken IPSEC VPN-tunnels voor vrijwel elke site-naar-site verbinding voor beheer of monitoring. Ik zit niet bij het communicatieteam, dus dat is alles wat ik erover kan zeggen.
Overal gebruikt, vooral voor net-net VPN’s. Voor client VPN’s zijn SSL en OpenVPN een gemakkelijker alternatief. PPTP is waardeloos, gebruik dat niet.
Als je filialen hebt, gebruik je waarschijnlijk IPSec om ze te verbinden. Zo niet, dan doe je het fout.
Kortom: ipsec werkt prima bij site-to-site gebruik met dezelfde implementatie. Maar niet zo goed bij client-to-site.
Eerlijk gezegd lijken de meeste organisaties over te stappen op SSL voor algemene gebruikersverbindingen vanwege het ‘coffeehouse’-probleem met IPsec. We hadden issues dat slechts één verbinding per IP door kwam, wat enorme problemen gaf als 30 mensen in een nabijgelegen coffeeshop zitten.
Als je een client moet installeren, waarom niet meteen overstappen op een VPN die door firewalls heen komt op een veelgebruikte poort voor de meeste gebruikers? Zoals je zegt, zijn er betere oplossingen voor hogere prestaties in infrastructuurverbindingen.
Ik ga verder op solarsaviors’ post, aangezien die het meest relevant is voor sysadmins.
Ik heb gewerkt met systemen die IPSEC gebruiken, omdat het een heel goede manier is om interne data te beveiligen over verschillende systemen en platformen, bijvoorbeeld Linux-frontends, Windows pre-processing servers, Unix-databases en mainframes.
Dit soort beveiliging is meestal wettelijk vereist bij verwerking van financiële gegevens, inclusief creditcards.
Het hangt allemaal af van welk land je systemen zich bevinden, van welk land je data afkomstig is en het kan ook door je klanten, bedrijfsveiligheidspolicies, verzekeraars worden opgelegd.
Naarmate de IT-omgeving groeit, worden oude systemen zelden uitgefaseerd en meestal gevirtualiseerd voor archiveringsdoeleinden. Het aantal ongepatchte, niet-ondersteunde systemen neemt toe, wat het beveiligingsrisico vergroot omdat deze systemen veel makkelijker te compromitteren zijn dan moderne systemen.
Mensen richten zich vaak op het beveiligen van data naar en van het datacenter, maar vergeten dat zodra data binnen is, het meestal op een open netwerk draait.
Ik hoop dat dit helpt.
Eigenlijk precies wat ik bedoel. Ik las in enkele boeken over Server 2008 dat dit onderwerp ter sprake kwam. Ik vroeg me af waarom dit zo belangrijk lijkt en ik het nooit heb gezien worden geïmplementeerd.
Ook hetzelfde voor gezondheidsinformatie… Ik beheer bijna 300 IPSec VPN’s op een Cisco ASA5510, met allerlei soorten verbindingsapparatuur.
Het wordt in sommige bedrijven gedaan, meestal tussen DMZ-hosts en interne systemen als extra beveiligingslaag. Het wordt zelfs automatisch gedaan als je VMware View gebruikt met een DMZ-veiligheidsserver.
Persoonlijk heb ik het in de afgelopen tien jaar niet binnen het bedrijf gezien, zelfs niet in militaire netwerken (althans de niet-geclassificeerde). De meest waarschijnlijke reden is de extra complicatie die het toevoegt bij het troubleshootingsproces, zelfs bij eenvoudige netwerkproblemen. Het vereist ook een hogere klasse helpdesktechnicus en breekt veel netwerk troubleshooting tools.
Ik had niet door dat het nog in de 2008-materiaal stond. Ik moet mijn certificaten echt bijwerken, ik ben er te druk mee om te testen. 