NK
engine 9.7 поддерживает локальную эмуляцию на 80.40
В PoC сейчас используем этот образ, как РнД завещал
Size: a a a
2020 June 13
SB
Коллеги, После включения https инспекции перестал работать Skype for business, ткните кто-нибудь в нужную sk.
IA
IA
Дока готовилась в 2016, сейчас адреса и пулы могут быть другие. Но в целом смысл понятен
SB
спасибо попробую
H
Леонид Орлов
Это отличный вопрос. Зачем нам вообще нужен RSA и все сложности с сертификатами, если можно поставить ключ вручную и не заморачиваться.
Не будем затрагивать тему с тем, что при аутентификации пиров с динамическим IP аутентификация PSK невозможна технологически (Предположим, что настроены несколько пиров - и разные PSK для них. При установке VPN с динамическим пиром пятый-шестой пакеты с хэшами этих PSK должны быть зашифрованы, и ключи шифрования и аутентификации первой фазы расчитываются на основе корневой переменной SKEYID по RFC2409, но SKEYID расчитывается с использованием PSK, который в свою очередь не может быть выбран, так как выбирается по IP пира, с которым устанавливается VPN).
IPSec VPN - это совокупность протоколов, и некоторые из них своей математической изощренностью совершенно поражают воображение - если не функция хэширования, то Диффи-Хеллман точно. Многолетние исследования и криптоанализ, лучшие умы человечества, математика, достаточная чтобы обмениваться критичной информацией через публичные каналы связи. Но всё это летит по заветам Гражданской Обороны, если ваш сисадмин поставил на обеих сторонах PSK "аааа": брутфорс никто не отменял. С аутентификацией по сертификатам такого произойти не может.
Если две компании устанавливают VPN по PSK, то так или иначе одна сторона придумывает PSK и должна передать его второй стороне - возникает вопрос, как это сделать защищенным путем. С сертификатами этого нет. Не затрагивая тонкостей исполнения, для получения сертификата от сертификационного центра достаточно прислать ему сгенерированный публичный ключ и имя компании (Cert request), чтобы получить подписанный сертификат. При этом секретные данные никто никому не передает.
Еще пример, почему сертификаты лучше - когда у вас сотни филиалов и VPN между ними (Meshed), придумывать сложные PSK для каждой пары (и хранить эти PSK, конечно) - "ну, замучаешься же! Поставлю-ка я аааа". С сертификатами этого не будет: если все пиры Check Point - вообще ничего для этого делать не надо: менеджмент сервер автоматически выдает всем подписанные сертификаты. А если не все, то достаточно для каждого сделать доверенным корпоративный центр сертификации, в ЧП это - единожды на менеджмент-сервере.
Не будем затрагивать тему с тем, что при аутентификации пиров с динамическим IP аутентификация PSK невозможна технологически (Предположим, что настроены несколько пиров - и разные PSK для них. При установке VPN с динамическим пиром пятый-шестой пакеты с хэшами этих PSK должны быть зашифрованы, и ключи шифрования и аутентификации первой фазы расчитываются на основе корневой переменной SKEYID по RFC2409, но SKEYID расчитывается с использованием PSK, который в свою очередь не может быть выбран, так как выбирается по IP пира, с которым устанавливается VPN).
IPSec VPN - это совокупность протоколов, и некоторые из них своей математической изощренностью совершенно поражают воображение - если не функция хэширования, то Диффи-Хеллман точно. Многолетние исследования и криптоанализ, лучшие умы человечества, математика, достаточная чтобы обмениваться критичной информацией через публичные каналы связи. Но всё это летит по заветам Гражданской Обороны, если ваш сисадмин поставил на обеих сторонах PSK "аааа": брутфорс никто не отменял. С аутентификацией по сертификатам такого произойти не может.
Если две компании устанавливают VPN по PSK, то так или иначе одна сторона придумывает PSK и должна передать его второй стороне - возникает вопрос, как это сделать защищенным путем. С сертификатами этого нет. Не затрагивая тонкостей исполнения, для получения сертификата от сертификационного центра достаточно прислать ему сгенерированный публичный ключ и имя компании (Cert request), чтобы получить подписанный сертификат. При этом секретные данные никто никому не передает.
Еще пример, почему сертификаты лучше - когда у вас сотни филиалов и VPN между ними (Meshed), придумывать сложные PSK для каждой пары (и хранить эти PSK, конечно) - "ну, замучаешься же! Поставлю-ка я аааа". С сертификатами этого не будет: если все пиры Check Point - вообще ничего для этого делать не надо: менеджмент сервер автоматически выдает всем подписанные сертификаты. А если не все, то достаточно для каждого сделать доверенным корпоративный центр сертификации, в ЧП это - единожды на менеджмент-сервере.
как в ЧП реализован механизм проверки отозванных сертификатов ?
ЛО
Highlander
как в ЧП реализован механизм проверки отозванных сертификатов ?
Так CRL же
H
на менаджмент сервере хранится список отозванных сертификатов ?
IA
Highlander
на менаджмент сервере хранится список отозванных сертификатов ?
VPN сертификаты шлюз кэширует
A
VPN сертификаты шлюз кэширует
Но если в момент запроса crl сервер будет недоступен, то впн - того, всё)
H
не так сформулировал вопрос, где лучше опубликовать список отозванных сертификатов с точки зрения чп ?
IA
Highlander
не так сформулировал вопрос, где лучше опубликовать список отозванных сертификатов с точки зрения чп ?
В месте, доступном шлюзу, очевидно же :)
H
В месте, доступном шлюзу, очевидно же :)
менеджмент сервер выставить в инет ?
IA
Highlander
менеджмент сервер выставить в инет ?
Если того требует топология - да
IA
Мгмт выставляется наружу через имплайд рулз, только для шлюзов
H
я думал, что это отдельный сервер должен быть
IA
Highlander
я думал, что это отдельный сервер должен быть
Это зависит от того, про какие сертификаты мы говорим
IA
Если SIC и иже с ними - это одно. Если это 3d party CA - уже другое
H
сертификаты для vpn шлюзов
IA
Но так или иначе, или CDP должен быть доступен, или выключать проверку CRL