Безопасность USG VPN? (IPSec включен?) Один только L2TP недостаточно защищён.

Безопасность USG VPN? (IPSec включен?) Один только L2TP недостаточно защищён., UniFi Network

SeattleDavid

Guest

22.04.2018 00:15:00

Служба VPN USG использует L2TP, который обеспечивает нулевую защиту. Обычно вместе с L2TP применяется IPSec для шифрования связи. Спрашиваю, потому что конфигурация VPN-клиента iOS, которая работает с USG, использует тип L2TP, а не IPSec. Это вызывает подозрения, что VPN-соединение может быть небезопасным и не шифруемым, ведь именно это и подразумевает L2TP. Как включить IPSec поверх L2TP для клиентов iOS и как проверить, что безопасность и шифрование действительно работают?

rorton

Guest

11.08.2018 19:18:00

Только что запустил iOS-клиент, который подключается к моему L2TP, и он определённо использует IPSEC: xxxx — это где появляются мой IP и IP подключающегося клиента.

admin@UnifiedSecurityGateway:~$ show vpn log
Aug 10 06:28:49 00[DMN] Запуск демона IKE charon (strongSwan 5.2.2, Linux 3.10.20-UBNT, mips64)
Aug 10 06:29:36 14[KNL] xxxx исчез с eth0
Aug 10 06:29:49 05[KNL] xxxx появился на eth0
Aug 10 17:03:39 07[KNL] xxxx исчез с eth0
Aug 10 17:03:49 15[KNL] xxxx появился на eth0
Aug 11 02:54:50 15[IKE] <1> xxxx начинает Main Mode IKE_SA
Aug 11 20:10:10 03[IKE] <2> xxxx начинает Main Mode IKE_SA
Aug 11 20:10:11 07[IKE] <remote-access|2> IKE_SA remote-access[2] установлен между xxxx[xxxx]...xxxx[xxxx]
Aug 11 20:10:12 01[IKE] <remote-access|2> CHILD_SA remote-access{1} установлено с SPIs c11f9aef_i 035f8f6d_o и TS xxxx/32[udp/l2f] === xxxx/32[udp/65003]
Aug 11 20:10:16 11[KNL] 10.255.255.0 появился на ppp0
Aug 11 20:10:16 09[KNL] 10.255.255.0 исчез с ppp0
Aug 11 20:10:16 03[KNL] 10.255.255.0 появился на ppp0
Aug 11 20:10:17 05[KNL] интерфейс l2tp0 активирован

Если посмотреть на отладочные данные, то увидим:

Connections:
remote-access: xxxx...%any IKEv1, dpddelay=15s
remote-access: local: [xxxx] использует аутентификацию по предварительному ключу
remote-access: remote: использует аутентификацию по предварительному ключу
remote-access: child: dynamic[udp/l2f] === dynamic[udp] TRANSPORT, dpdaction=clear

Security Associations (1 активен, 0 подключаются):
remote-access[2]: УСТАНОВЛЕН 2 минуты назад, xxxx[xxxx]...xxxx[xxxx]
remote-access[2]: IKEv1 SPIs: 32cc17f82e75295e_i 4bf4f1071512d93c_r*, повторное ключевание отключено
remote-access[2]: IKE предложение: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
remote-access{1}: УСТАНОВЛЕН, TRANSPORT, ESP в UDP SPIs: c11f9aef_i 035f8f6d_o
remote-access{1}: AES_CBC_128/HMAC_SHA1_96, 2312 байт вх. (35 пакетов, 22 секунды назад), 3491 байт исх. (35 пакетов, 60 секунд назад), повторное ключевание отключено
remote-access{1}: xxxx/32[udp/l2f] === xxxx/32[udp/65003]

admin@UnifiedSecurityGateway:~$ Используется IKEv1, AES256 и SHA1, с групповым обменом DH14 для Фазы 1, AES128 SHA1 для Фазы 2

VWT-Dan Guest	#3 13.08.2018 10:54:00 УСТАНОВЛЕНО, TRANSPORT-in-UDP, ESP:AES_CBC-128/HMAC_SHA1_96 Вот твой ответ.

bacole2

Guest

11.08.2018 21:54:00

Думаю, я прочитал достаточно информации и теперь уверен, что данные действительно шифруются, когда я использую VPN-подключение L2TP на USG. К сожалению, так как я не начинал эту тему, не могу отметить её как «решённую». Спасибо VWT-Dan, rorton и mejifair за ваши комментарии. Я изучил командную строку, основываясь на ваших постах, и узнал больше о USG.

rorton

Guest

11.08.2018 18:50:00

Я думал, что USG использует IPSEC поверх L2TP? Если посмотреть в конфиг моего L2TP на устройстве, там указано IPSEC:

l2tp {
remote-access {
authentication {
mode radius
radius-server 192.168.1.1 {
key ****************
port 1812
}
require mschap-v2
}
client-ip-pool {
start 192.168.90.1
stop 192.168.90.254
}
dhcp-interface eth0
dns-servers {
server-1 192.168.1.14
}
idle 1800
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret ****************
}
ike-lifetime 3600
lifetime 3600

mejifair

Guest

11.08.2018 14:58:00

Ну, у меня не так много технических знаний, но у меня настроен VPN с IPSEC PSK. И без этого ничего не подключается. Я всегда думал, что PSK — это шифрование VPN, пока данные идут между моим устройством и USG.

Кстати, не уверен, что это правильный случай, но я использую VPN на USG, чтобы заходить на заблокированные сайты, когда путешествую в страны с запретами (например, Facebook, Google, использую FB Messenger, чтобы переписываться с семьёй). Работает отлично, что говорит о том, что трафик для локальных фаерволов выглядит как исходящий из США, а не из самой страны. Или же сайт, который я пытаюсь открыть, замаскирован так, что фаервол страны не может его заблокировать.

Не знаю, пригодится ли это. Я точно не эксперт, но мне удалось использовать такой VPN-туннель в поездках, где другие VPN-сервисы заблокированы.

Вот скриншот моей настройки VPN на Андроиде. PSK указан, а другое поле IPSEC пустое. Не уверен, поможет ли это.

bacole2

Guest

11.08.2018 13:25:00

Мой вопрос не про HTTPS. Меня интересует VPN-соединение. Хочу узнать, шифруется ли сетевой трафик с моего удалённого устройства, который передаётся через L2TP VPN-туннель к моему USG (настроенному как VPN-сервер). Включает ли реализация L2TP VPN на USG шифрование IPSEC или IKE? Например, я использую L2TP VPN для удалённого подключения к своей домашней сети. После установления соединения и входа на файловый сервер при передаче файлов — шифруются ли эти файлы во время прохождения через VPN?

mejifair Guest	#8 11.08.2018 12:41:00 Для уточнения — когда вы говорите «небезопасно», имеете в виду, что соединение не по HTTPS? То есть трафик может свободно перехватываться при передаче в USG?

bacole2

Guest

11.08.2018 12:36:00

Спасибо за совет с командой sudo. Вывод sudo ipsec statusall показывает следующую информацию после установки L2TP-соединения. Это то, что я должен видеть, чтобы убедиться, что соединение зашифровано?

----------------------
Security Associations (1 up, 0 connecting):
remote-access[78]: ESTABLISHED 69 секунд назад, 69.255.xxx.xxx[69.255.xxx.xxx]...73.132..xxx.xxx[192.168.xxx.xxx]
remote-access[78]: IKEv1 SPIs: 351084ca3b545f74_i 2b03b9c6ad6a6d92_r*, перезапуск сессии отключён
remote-access[78]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
remote-access{36}: INSTALLED, TRANSPORT, ESP в UDP SPIs: c5ad3636_i 012d17d7_o
remote-access{36}: AES_CBC_128/HMAC_SHA1_96, 9437 байт входящих (53 пакета, 0 сек назад), 9118 байт исходящих (43 пакета, 8 сек назад), перезапуск сессии отключён
--------------------

Дополнительно:
Также я использовал команду Strongswan вот так, и она показывает, что IKEv1-соединение установлено, когда есть активное L2TP VPN-соединение. Это наводит меня на мысль, что соединение зашифровано, однако буду признателен за подтверждение, так как у меня нет опыта в изучении внутренней работы VPN.

--------------------------------------------------------
bacole@USG3:~$ sudo swanctl --list-sas
remote-access: #80, ESTABLISHED, IKEv1, 8f3b209929527294:c058e6d0dae82a56
local '69.255.xxx.xxx' @ 69.255.xxx.xxx
remote '192.168.1.104' @ 73.132.xxx.xxx
AES_CBC-256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
установлено 805 секунд назад
remote-access: #38, INSTALLED, TRANSPORT-in-UDP, ESP:AES_CBC-128/HMAC_SHA1_96
установлено 804 секунды назад
in cdd512e9, 7131275 байт, 94213 пакетов, 0 сек назад
out 03f60a70, 128015423 байт, 107489 пакетов, 23 сек назад
local 69.255.xxx.xxx/32[udp/l2f]
remote 73.132.xxx.xxx/32[udp/50038]
------------------------------------------------------

VWT-Dan Guest	#10 11.08.2018 11:50:00 Установите L2TP VPN-соединение, затем посмотрите вывод команды 'sudo ipsec statusall' на роутере.

bacole2 Guest	#11 11.08.2018 11:40:00 SeattleDavid, ты так и не получил ответы на свои три вопроса по поводу включения IPSec с L2TP VPN на USG?

Читают тему (гостей: 1)