Хабрахабр: Метки / vpn http://habrahabr.ru/rss/tag/vpn/ ru editor@habrahabr.ru habrahabr.ru Sat, 11 Feb 2012 02:05:08 GMT http://habrahabr.ru/ http://habrahabr.ru/i/logo.gif Хабрахабр <![CDATA[Информационная безопасность / Авторизация в OpenVPN c помощью Рутокен ЭЦП]]> http://habrahabr.ru/blogs/infosecurity/137306/ http://habrahabr.ru/blogs/infosecurity/137306/
OpenVPN — кроссплатформенное, гибкое и удобное решение для организации VPN. Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:
  • по логину и паролю
  • по ключу и сертификату в файлах
  • по ключу и сертификату на «борту» криптографического USB-токена или смарт-карты
Последний способ является наиболее безопасным. В топике будет описана авторизация в OpenVPN с помощью криптографического USB-токена Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попыток ввода PIN-кода, поэтому злоумышленник не попадет в VPN даже в случае кражи токена. Кроме того, в Рутокен ЭЦП аппаратно реализованы алгоритмы ГОСТ и RSA, поэтому аутентификация производится «на борту» токена. Благодаря этому закрытый ключ никогда не покидает токен и его невозможно украсть из оперативной памяти компьютера с помощью троянов.

В топике будет показано, как развернуть тестовый VPN, а также корпоративный УЦ на базе open source приложения XCA. С помощью УЦ будет создан ключ и сертификат сервера OpenVPN и произведена инициализация токена клиента. Затем настроим клиент OpenVPN таким образом, чтобы пользователь мог авторизоваться в OpenVPN с помощью Рутокен ЭЦП.
Читать дальше →
]]> Tue, 31 Jan 2012 08:49:42 GMT VicTun openvpnрутокен эцпpkcs11xcavpnx509 <![CDATA[Информационная безопасность / «Не палимся» или конфигурация домашнего сервера анонимизации]]> http://habrahabr.ru/blogs/infosecurity/136699/ http://habrahabr.ru/blogs/infosecurity/136699/ Тем, кто часто пользуется сервисами анонимизации, а так же интересующимся, вероятно будет интересно узнать, как обычный бесхозный домашний нетбук превращается в локальный сервер анонимизации.

Под катом не только инструкции, но и немного моего опыта использования тех или иных систем анонимизации.
Читать дальше →
]]> Sat, 21 Jan 2012 01:10:13 GMT pentarh i2ptorбезопасностьанонимностьopennicnamecoinopenvpnvpnроутер <![CDATA[iPhone / Локальный прокси-сервер для Siri]]> http://habrahabr.ru/blogs/iphone/133069/ http://habrahabr.ru/blogs/iphone/133069/ взломом протокола коммуникации Siri получила естественное продолжение: разработан прокси-сервер SiriProxy, с помощью которого можно легко добавить дополнительную функциональность к этой программе. Например, через голосовой интерфейс можно посылать текстовые сообщения на произвольные сайты или активировать голосовое управление устройствами в домашней сети. Скажем, вот плагин для термостата:

— Siri, какая сейчас температура в комнате?
— Двадцать градусов.
— Понизь до восемнадцати.
— OK.

Напомним, что после подделки SSL-сертификата и установки своего DNS-сервера программа Siri обменивается данным с вашим собственным сервером, а не с дефолтным guzzoni.apple.com.
Читать дальше →
]]> Mon, 21 Nov 2011 12:01:39 GMT alizar Siriпрокси-серверDNS-серверdnsmasqVPNRubySiriProxy <![CDATA[Сетевые технологии / [Из песочницы] Простой NAT traversal на основе OpenVPN и кое-что ещё. Часть 1]]> http://habrahabr.ru/blogs/network_technologies/131873/ http://habrahabr.ru/blogs/network_technologies/131873/
Nat traversal, который также называют rendez-vous (ранде-ву, франц.«навстречу вам») — это простая технология на основе UDP-протокола, которая позволяет связать прямым соединением два компьютера, находящиеся за NATом и не имеющие белых IP-адресов.
Читать дальше →
]]> Thu, 03 Nov 2011 19:16:05 GMT compressor64 сетевые технологииvpnnat traversalhamachiopenvpn <![CDATA[Системное администрирование / VPN на 50+ филиалов на коленке]]> http://habrahabr.ru/blogs/sysadm/129510/ http://habrahabr.ru/blogs/sysadm/129510/
Появилась потребность сделать VPN для аутсорсинговой компании — организовать связь с сетями компаний клиентов таким образом, чтобы админы заказчика и собственной сети видели каждый хост клиента за NATом и не было возможно обратное. Аппаратные решения в принципе не рассматривались ввиду стоимости, да и все проприетарные программные решения отсеялись по этой же причине. Остался только свободный софт. Благо свободных решений более чем достаточно

Поскольку начинал я знакомство со свободными системами с FreeBSD — выбор пал на нее. Сразу прошу хабралюдей не разводить холивар на тему BSD vs Linux – основной причиной выбора были более глубокие знания этой системы (до сих пор не могу осилить Linux настолько, чтобы быть уверенным в результатах своей работе с ним). Собственно, ВПН решено было организовать на основе OpenVPN — опять же, раньше приходилось иметь с ней дело, и недостатков я не обнаружил. И снова попрошу без холивара на тему PPTP – если есть приверженцы такого решения – лучше напишите свою статью.
Читать дальше →
]]> Fri, 30 Sep 2011 15:47:03 GMT Lamaster VPNOpenVPNpfSensefreebsdшлюз <![CDATA[Linux для всех / VPN-сервер в стиле how-to (pptpd+mysql+radius) на CentOS6]]> http://habrahabr.ru/blogs/linux/128599/ http://habrahabr.ru/blogs/linux/128599/ Хотя статьи в стиле how-to и не очень комментируемые, и в основном не с положительными комментариями, однако, именно их, больше всего добавляют в закладки.
Здесь я постараюсь описать процесс установки и настройки VPN-сервера на CentOS6 с пользователями в MySQL и авторизацией через радиус для шифрованного соединения по ms-chap-v2 и mppe.

Преамбула

Откуда берутся данные статьи? Все просто. Когда мы ищем соискателей работы, например, на должность системного администратора, то после отбора кандидатов на предварительном собеседовании, состовляются тестовые задания, реализуются своими силами, а потом предлагаем их решить соискателям. Для исполнения заданий, соискателю предоставляется виртуальная машина, доступ в интернет, и определенное время. Время расчитывается просто — наша реализация *2. При этом, Вы можете считать, что все необходимые решения (how-to) можно найти на просторах интернета, однако, мы учитываем это, и поэтому не берем готовых решения, а состовляем и решаем предварительно их сами, на свежих дистрибютивах. Кстати, бывают случаи, когда мы натыкаемся на определенные проблемы при реализации (маленькие незадокументированные шалости разработчиков), и в случае, если кандидат идет правильным курсом, но попадает в затык именно на этой проблеме, подсказываем найденное нами, её решение.
Читать дальше →
]]> Fri, 16 Sep 2011 17:41:22 GMT shadowalone заданиеработаpptpdmysqlradiusvpnl2tpxl2tpd <![CDATA[Криптография / В Пакистане запретили использование протоколов шифрования связи]]> http://habrahabr.ru/blogs/crypto/127448/ http://habrahabr.ru/blogs/crypto/127448/ письмо, которое запрещает ISP использовать любые технологии шифрования, препятствующие мониторингу трафика. В письме отдельно упоминаются виртуальные частные сети с применением шифрования (EVPN).

Судя по всему, власти попытаются блокировать также весь трафик SSL и SSH, чтобы обеспечить беспрепятственный мониторинг каналов связи.
Читать дальше →
]]> Wed, 31 Aug 2011 15:37:16 GMT alizar VPNшифрование трафикамониторинг трафикаслежка за гражданами <![CDATA[Блог компании Kebrum Corp. / Эксперименты над людьми? Почему бы и нет]]> http://habrahabr.ru/company/kebrum/blog/124715/ http://habrahabr.ru/company/kebrum/blog/124715/
http://www.this-dude-is-watching-porn.com/


Читать дальше →
]]> Tue, 26 Jul 2011 10:47:18 GMT Veil кебрумvpnvpn сервисчерный пиарпорно <![CDATA[iPhone / iPad/iPhone в поездке. Совпадение адресов VPN и общественной сети]]> http://habrahabr.ru/blogs/iphone/123840/ http://habrahabr.ru/blogs/iphone/123840/ При подключении к рабочей VPN все внутренние рабочие ресурсы остаются недоступными, т.к. в этом случае для доступа к ним iPad/iPhone пытается использовать свой беспроводной интерфейс, а не интерфейс в сети VPN.
Под катом очевидное решение, которое, однако, может помочь кому-нибудь сэкономить немного времени на осознание проблемы.
Читать дальше →
]]> Mon, 11 Jul 2011 07:00:48 GMT querct ipadiphonevpn <![CDATA[Персональные блоги / Организация автозапуска VPN-соединения под Windows]]> http://habrahabr.ru/blogs/personal/118950/ http://habrahabr.ru/blogs/personal/118950/ Включен почти всегда, потому что очень часто, когда я нахожусь вне дома (на работе, в гостях, просто летом на даче), возникает необходимость зайти на него (по http или же через Remote Desktop) за какими-либо данными.

Всё бы ничего, но доступ в интернет обеспечивается через VPN-соединение.
Которое иногда обрывается. Из-за проблем у провайдера, из-за перезагрузки системы после установки критичных апдейтов или еще по каким-либо причинам.

Что же делать?
]]> Mon, 09 May 2011 12:44:49 GMT WebByte vpnавтозапуск <![CDATA[Блог компании Kebrum Corp. / Клиент Kebrum VPN портирован на Nokia N900]]> http://habrahabr.ru/company/kebrum/blog/117781/ http://habrahabr.ru/company/kebrum/blog/117781/ как MonoDevelop мы адаптировали интерфейс под его особенности и теперь рады представить вам весь функционал нашего десктопного клиента на данном устройстве.



Как видно из этого небольшого демонстрационного ролика, теперь можно даже на телефоне с лёгкостью смотреть видео с Fox.com, не говоря уже о защите своих данных при подключении к публичным WiFi-точкам доступа.

Скачать и ознакомиться можно перейдя с устройства по этой ссылке или же при наличии чего-нибудь вроде mbarcode посредством QR-кода слева.

О сложностях, связанных с запуском .NET сборок на N900 уже писалось, но мы надеемся, что по проторённой нами дорожке пройдут теперь и другие разработчики.]]> Fri, 22 Apr 2011 13:13:42 GMT Veil n900kebrumvpn <![CDATA[Убунтариум / Бэкдор в образе Ubuntu для Amazon EC2, проверьтесь!]]> http://habrahabr.ru/blogs/ubuntu/117101/ http://habrahabr.ru/blogs/ubuntu/117101/ karohos поделился с нами отличным рецептом организации бесплатного личного VPN на облаке Амазона (Бесплатный VPN от Amazon). Вкратце, для тех кто пропустил, идея в том, запуск и постоянный аптайм микро-образа с Ubuntu Server 10.04 с настроенным OpenVPN укладывается в бесплатную квоту Амазона (она дается только на год, но все же). Многие тогда воспользовались этой возможностью, и я в том числе.

Сегодня я получил письмо от Амазона с заголовком «Требуются ваши действия».
Читать дальше →
]]> Fri, 08 Apr 2011 11:57:47 GMT ComodoHacker AmazonUbuntuSSHключVPNбезопасность <![CDATA[Персональные блоги / SSH-туннель домой без необходимости оставлять включённым домашний ПК]]> http://habrahabr.ru/blogs/personal/116214/ http://habrahabr.ru/blogs/personal/116214/ Disclaimer
Этот пост появился здесь по нескольким причинам:
1) Меня попросил сам Boomburum
2) Есть предположение, что на хабре всё-таки есть люди, имеющие прямое отношение к IT, но при этом имеющие весьма отдалённое представление о пользе SSH и её извлечении из обычного домашнего роутера, и которым, надеюсь, будет весьма интересно и полезно об этом узнать.

Хабралюдям, познавшим Дао IOS, tun, VPN, *wrt, WOL… etc, предлагается на выбор:
А) Закрыть топик, заняться делом и не выводить себя из нирваны чтением этой любительской фигни.
Б) Потратить время на конструктивную критику и полезные дополнения в комментариях.
Специально для GrammarNazi:
Пишите пожалуйста об ошибках в личку — обещаю исправиться.
Бла-бла-бла, а топик-то о чём?
Итак, я обещал рассказать «как поднять ssh-туннель домой без необходимости оставлять включённым домашний ПК» и, как правильно догадался peter23 речь пойдёт про ssh-сервер на роутере.
Читать дальше →
]]> Sun, 27 Mar 2011 21:02:39 GMT zilia ssh tunneldd-wrtproxywrttunnelдомашняя сетьhowtovpnwolssh <![CDATA[Персональные блоги / Китай усиливает цензуру электронных коммуникаций]]> http://habrahabr.ru/blogs/personal/116080/ http://habrahabr.ru/blogs/personal/116080/ пишет NY Times. Так местные власти якобы пытаются отреагировать на волну революций, которая прокатилась по арабскому миру и грозит перекинуться в Китай.

В понедельник «второй крестовый поход» против Китая начала и компания Google. Она уверяет, что китайские пользователи «несколько недель испытывают трудности в доступе к Gmail, что является «скорее всего результатом блокировки со стороны правительства». Пользователи могут зайти к себе в почту, но там всё тормозит и невозможно даже отправить письмо или посмотреть адресную книгу.
Читать дальше →
]]> Wed, 23 Mar 2011 19:27:09 GMT alizar КитайGmailцензураVPNWiTopia <![CDATA[Системное администрирование / [Перевод] Вышла новая версия OpenVPN Access Server]]> http://habrahabr.ru/blogs/sysadm/115326/ http://habrahabr.ru/blogs/sysadm/115326/
Сегодня вышла новая версия OpenVPN Access Server. OpenVPN Access Server (OpenVPN-AS) это набор инструментов для установки и настройки, которые упрощают быстрое развертывание VPN-сервера удаленного доступа. Он основывается на популярном программном обеспечении с открытым исходным кодом OpenVPN, позволяя работать с настроенным VPN-сервером при помощи кроссплатформенного клиентского ПО. Предоставляемые сервером возможности — это тщательно подобранный набор из всех возможных конфигураций OpenVPN. Таким образом OpenVPN-AS упрощает настройку и последующее управление системой. Читайте далее, чтобы узнать, что нового появилось в версии 1.7.1.
Читать дальше →
]]> Sat, 12 Mar 2011 13:06:23 GMT paramobilus vpnopenvpnopenvpnasopenvpn-as <![CDATA[Cisco / [Из песочницы] Построение dmVPN с использованием Cisco и S-Terra]]> http://habrahabr.ru/blogs/cisconetworks/114328/ http://habrahabr.ru/blogs/cisconetworks/114328/
Что из себя представляет классический dmVPN? В двух словах – имеем Центральное устройство — Hub и кучу удаленных Узлов — Spoke, с динамической маршрутизацией между ними и копипастной настройкой новых Spoke – изменения в конфиге минимальны, центральный Hub трогать не надо, маршруты сами разлетятся по сети. Красота!

Что же нужно дописать и доделать, чтобы схема работала не на Cisco, а на связке Cisco плюс S-Terra?
Читать дальше →
]]> Tue, 22 Feb 2011 19:46:30 GMT LonelyCat ciscos-terradmvpnvpn <![CDATA[Блог компании Kebrum Corp. / И снова здравствуйте]]> http://habrahabr.ru/company/kebrum/blog/113383/ http://habrahabr.ru/company/kebrum/blog/113383/ эти посты.

Первым делом представляем вам мини-проект AnonymousCoat, если по-русски, то Плащ-Анонимка. Это бесплатный VPN-сервис, работающий на технологии OpenVPN.



Это что еще такое? Установить и писать на хабр с домофона!
]]> Tue, 08 Feb 2011 15:15:02 GMT Veil vpnбезопасностьшифрованиеанонимностьбольшой брат давно следит за тобой <![CDATA[Системное администрирование / Вариант удаленного доступа к корпоративной сети предприятия посредством VPN с разграничением доступа к внутренним ресурсам и аутентификацией в AD]]> http://habrahabr.ru/blogs/sysadm/111215/ http://habrahabr.ru/blogs/sysadm/111215/
  1. На стороне удаленного пользователя требуется минимум настройки — используются все стандартные приложения и возможности ОС Windows;
  2. Удаленный пользователь работает на сервере терминалов, что обеспечивает его необходимой средой для выполнения своих должностных обязанностей
  3. Очень гибкое управление доступом к внутренним ресурсам компании (обеспечивается TMG\ISA файрволом согласно доменной аутентификации)


Если вам это интересно, добро пожаловать под кат
Читать дальше →
]]> Wed, 05 Jan 2011 09:13:36 GMT mad_c системное администрированиеvpnинфраструктура <![CDATA[Криптография / В OpenBSD пока не найдено бэкдоров ФБР]]> http://habrahabr.ru/blogs/crypto/110620/ http://habrahabr.ru/blogs/crypto/110620/ восстановил события десятилетней давности, когда создавался стек протоколов шифрования IPSec. Он называет имена двух основных разработчиков стека (как сейчас выяснилось, они выполняли заказы для ФБР) и пишет, что написанный ими код до сих пор используется в ключевых модулях системы и не только в IPSec.

За эту неделю участники проекта проверили часть кода и нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались. Никаких других дыр, которые могли быть бэкдорами, не найдено.

С одной стороны, проверена только малая часть кода. С другой стороны, есть основания полагать, что бэкдоров нет вообще. Разбирательство продолжается.
Читать дальше →
]]> Thu, 23 Dec 2010 21:50:37 GMT alizar OpenBSDNETSECФБРбэкдорIPSecOpenBSD Cryptographic FrameworkOCFVPNopenbsd-tech <![CDATA[Блог компании Kebrum Corp. / Обновления или стать одесситом бесплатно]]> http://habrahabr.ru/company/kebrum/blog/107754/ http://habrahabr.ru/company/kebrum/blog/107754/ Добрый день.
В этом посте мы расскажем о новых возможностях нашего VPN-сервиса, порадуем любителей открытого софта и успокоим параноиков. А заодно хочется поделиться мнением касательно законов об авторском праве, вступить в неравный спор и потрепать друг другу карму. Если вы заинтересованы в защите личной информации, хотели бы больше возможностей в интернете и вас волнуют вопросы несправедливости в мире, то скорее заходите внутрь. Те, кто с нами ещё не знаком, могут ознакомиться с предыдущим постом.







Что там у вас? Несите сюда, я буду смотреть!
]]> Thu, 11 Nov 2010 10:10:00 GMT Veil VPNшифрованиесвободаравенствобратствобезопасность