IPSec, IPSecurity, VPN.

[zVlad]

VPN, когда это через паблик интернет, понятен и естественнен. Я же третью неделю бьюсь головой об это для интранет соединений.
На самом деле начал знакомится с этим почти три года назад. Запустил на одной из партиций, в zOS, эту опцию, но со всеми IP фильтрами дающими permit. Пытался срастить эту партицию с другой, но неофициально и это было не удобно, бросил.
Недавно оказалось что наши Wintel парни усраналивают peer-to-peer "тунели" между их серверами. А у нас есть немало связей между мэйнфрэйм и винтел серверами и все они не серьюр. Казалось бы в LAN это не проблема, но оказывается наш клиент очень пики на этот счет. Пришлось, с удовольствием, заняться этим дело.
Для начала я попытался связать мф с виндовз. Есть описания как это делается. Но, к сожалению, на мф это в тех описаниях делалось с помощь GUI, которых я не люблю. Попытки же сделать это "вручную", на основе составления политик в плоских файлах уперлось в непонимание весьма сложной и разветвленной архитектуры включающей сам TCP/IP, PAGENT, TMRD, IKED, NSSD. Как это все вмесре работает разобраться копаясь в сэмпле не удалось. Читаю теперь объемный мануал, экспериментируюю разбираюсь в трм что такое транспорт и туннель, при том что есть еще другие туннели, что такое конечная точка секьютрити и конечная точка данных, инкапсуляция, хидеры.
Увлекательно, однако.
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.

[Privet]

...
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.

Почему на OpenVPN не поставить? Сервер я ставил на Linux, клиенты есть и на Windows и на Android. На удивление, даже барахтаться не пришлось.

[zVlad]

...
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.

Почему на OpenVPN не поставить? Сервер я ставил на Linux, клиенты есть и на Windows и на Android. На удивление, даже барахтаться не пришлось.

Как говорил товарищ Сухов "лучше помучиться".
Но, хотя и есть у меня в zOS среда юникс и вероятно инсталяция в ней OpenVPN может (формально) пройти, но выход на сеть этой инсталяции надо будет организовывать через тот TCP/IP что имеется в zOS, а это наверняка не поддерживается OpenVPN. По крайней мере в статье на Вики zOS как платформа не указана.
Вероятно возможно выполнять OpenVPN в виртуальной машине на мф или в партиции, но для этого нужно перекомпилировать исходники и пересобрать пакет для инсталяции.
Ну и надо чтобы наши Винтельщики тоже обратили взоры на OpenVPN, а пока они только с тем что Микрософт стандартно предоставляет на Виндоуз работают.
Так что нет у меня такой возможности, да и будет такого чтобы OpenVPN когда-либо смог охватить то что есть в стандартной поставке в zOS. Я мог бы меньше барахтаться если бы у меня было GUI zOSMF. Но за это деньги надо платить, а клиент наш жмот обыкновенный, канадский. Да и мне было бы не так интересно чтобы за меня скофигурировалось все само собой, мне нужно знать каждый шаг и пощупать каждый параметр, протокол.

[zVlad]

Кроме того VPN это когда мы хотим защитить трафик по публичному интернету, оставив трафик в своей сети незащенным.
В нашем случае есть задача защитить трафик внутри прайвет сети. Защитить каждую коммуникацию по сети и запретить то что незащищено.
Подходы к решению этих задач разные и методы разные тоже.

[Flash-04]

Круто. Ну надо начать видимо со стека протоколов, понять кто на ком стоит/сидит. Я совершенно серьёзно, без ерничания. Заодно узнать какие vpn лучше или хуже в вашей ситуации.
VPN - параллельно паблик интернет или lan. Всё сводится к созданию "тунелей".

[voyager3]

Когда-то прикрутил IKEv2 IPSec tunnel VPN к домашнему маршрутизатору под OpenWRT с заходом снаружи через DynDNS. Всё под линух, ессно, если есть конкретные вопросы, попытаюсь ответить.

[Flash-04]

https://share.confex.com/share/121/webp ... ing%20.pdf
"Enterprise IPSec Deployment : A users experience"
by Jim Darby: Lead System Programmer AT Nordstrom
Thomas Cosenza: IBM Lab Services

вкратце как в Nordstrom внедряли IPSec для z-os и windows.

[Serb]

VPN, когда это через паблик интернет, понятен и естественнен. Я же третью неделю бьюсь головой об это для интранет соединений.
На самом деле начал знакомится с этим почти три года назад. Запустил на одной из партиций, в zOS, эту опцию, но со всеми IP фильтрами дающими permit. Пытался срастить эту партицию с другой, но неофициально и это было не удобно, бросил.
Недавно оказалось что наши Wintel парни усраналивают peer-to-peer "тунели" между их серверами. А у нас есть немало связей между мэйнфрэйм и винтел серверами и все они не серьюр. Казалось бы в LAN это не проблема, но оказывается наш клиент очень пики на этот счет. Пришлось, с удовольствием, заняться этим дело.
Для начала я попытался связать мф с виндовз. Есть описания как это делается. Но, к сожалению, на мф это в тех описаниях делалось с помощь GUI, которых я не люблю. Попытки же сделать это "вручную", на основе составления политик в плоских файлах уперлось в непонимание весьма сложной и разветвленной архитектуры включающей сам TCP/IP, PAGENT, TMRD, IKED, NSSD. Как это все вмесре работает разобраться копаясь в сэмпле не удалось. Читаю теперь объемный мануал, экспериментируюю разбираюсь в трм что такое транспорт и туннель, при том что есть еще другие туннели, что такое конечная точка секьютрити и конечная точка данных, инкапсуляция, хидеры.
Увлекательно, однако.
Кто-нибудь с этим барахтается? Парень из нашего винтел, который вяжет их сервера через это, мне уже перестал быть интересным - я уже и свой офисный комп и домашний зарядил этим, но с мф они у меня пока не работают, увы.

IPsec (Ike+esp) это решение для lan-to-lan соединений . Для applicarion-to-application целесообразней использовать tls

[zVlad]

...

IPsec (Ike+esp) это решение для lan-to-lan соединений . Для applicarion-to-application целесообразней использовать tls

С этого я и начинал собственно лет 5-8 назад. Плюс AT-TLS. Но не все приложения поддерживают это и невсегда клиенту хочется платить за приложения поддерживающее это. Например за WS-FTP от Ipswitch. IPSec позволяет защитить приложения без их переделки.
Мы будем использовать IPSec (ike+esp) для host-to-host.

[zVlad]

Круто. Ну надо начать видимо со стека протоколов, понять кто на ком стоит/сидит. Я совершенно серьёзно, без ерничания. Заодно узнать какие vpn лучше или хуже в вашей ситуации.
VPN - параллельно паблик интернет или lan. Всё сводится к созданию "тунелей".

Какие vpn лучше или хуже это конечно интересно, но в моем случае выбор ограничен тем что есть в zOS, а в нем есть все как я понимаю. Выбор будет между теми или иными вариантами кодирования и аутентификации. Все эти дела будут есть ресурсы и надо выбрать то что при меньших ресурсах даст нам приемлемый уровень защищенности от самих себя, речь то идет в пределах LAN, за файрволами.

[zVlad]

https://share.confex.com/share/121/webp ... ing%20.pdf
"Enterprise IPSec Deployment : A users experience"
by Jim Darby: Lead System Programmer AT Nordstrom
Thomas Cosenza: IBM Lab Services

вкратце как в Nordstrom внедряли IPSec для z-os и windows.

Хороший конспект к IBM документу, который я сейчас изучаю. В этой презентации я на 30-ом слайде нахожусь.
Пролистал до конца. Того что мне бы хотелось увидет и я пока так и не нашел это готовых, работающих конфигурационных файлов для IPSec и пояснениями что в них к чему. В zOS есть самплы, но без объяснений. Поэтому иного чем чтение пары сотен страниц и приложения своих мозгов мне больше не сватит.
Все подобные презентации и мануалы из опыта применения основываются на GUI Configuration Assistance. Это обезьяний подход. Мне он не годится. Есть красная книга гораздо более подробная:

IBM z/OS V2R2 Communications Server TCP/IP Implementation: Volume 4 Security and Policy-Based Networking.

[voyager3]

https://share.confex.com/share/121/webp ... ing%20.pdf
"Enterprise IPSec Deployment : A users experience"
by Jim Darby: Lead System Programmer AT Nordstrom
Thomas Cosenza: IBM Lab Services

вкратце как в Nordstrom внедряли IPSec для z-os и windows.

Хороший конспект к IBM документу, который я сейчас изучаю. В этой презентации я на 30-ом слайде нахожусь.
Пролистал до конца. Того что мне бы хотелось увидет и я пока так и не нашел это готовых, работающих конфигурационных файлов для IPSec и пояснениями что в них к чему. В zOS есть самплы, но без объяснений. Поэтому иного чем чтение пары сотен страниц и приложения своих мозгов мне больше не сватит.
Все подобные презентации и мануалы из опыта применения основываются на GUI Configuration Assistance. Это обезьяний подход. Мне он не годится. Есть красная книга гораздо более подробная:

IBM z/OS V2R2 Communications Server TCP/IP Implementation: Volume 4 Security and Policy-Based Networking.

Сами конфиги специфичны для реализации. Как минимум, должны быть прописаны сертификаты, адреса узлов и маска подсети, по которой заворачивать в туннель вместо отправки как есть.

[zVlad]

Зарядил на прошлой неделе IPSec на две серьезных системы. Обе можно сказать продакшн. Сначала разрешил все всем. Потом создал "туннель" для ftp. Тунель с сертификатами, RSA Signature, и 3DES. Работает.
Теперь надо с Виндовзом научиться договариваться. Разные сервисы, например, CICS, WebSphere, DB2 запустить через ipsec.

[zVlad]

Сегодня таки пробил "туннель" в Виндовз. На PreSharedKeys не получилось, а на сертификатах и RSA signature получилось.
Пришлось правда на мэйнфрэйм открыть все сервисы чтобы поймать то что идет с Виндовз даже для простого ftp. То что предполагалось в примерах для ftp в понимании мф не проходило. Буду в понедельник разбираться в деталях. Главное что кроме фильтрации все остальное срослось на обеих фазах.

[zVlad]

Тема одного участника получается. Непорядок, однако.
На сегодня IPSec становится управляемой скотиной в моем зоопарке. Есть шероховатость, которую я пока не раскусил.
Естественно между мэйнфрэйм и Виндами. Смысл ее в том что установленный и работающий тунель вдруг перестает работать. Можно подождать, долго, и он восстанавливается сам собой. Найти как это пнуть чтобы заработало, или чтобы работало без пинка пока не удалось.
Возможно это где-то в тех параметрах что отслеживают жизнь тунеля и всякие рефреши, которые могут быть не согласованны.
Вообще пока есть туман некоторый, хотя многое работает если ему жить недолго надо. Типа ftp. И он, при этом, активен. Но у нас есть много "долгоживущих" процессов. Вот с ними, похоже, я пока не управляюсь.
То что "умирает" на данный момент это сессии 3270 (мф терминал) с моей воркстэйшн к мэйнфрэйм (моя ВС к МФ IPSec-ed по всем протокола и портам). Но они, увы, умирают, если их не использовать какое-то время. А спустя много времени оживают и я, пока, не могу понять от чего это зависит.
Может кто сталкивался с таким поведением в IPSec?
Откликнитесь, пожалуйста.
Я сейчас параллельно всей этой требухе покупаю (с сыном) коттедж на берегу острова на озере Симко. Ищу моторную лодку. Сдал вчера на PCOC экзамен (меньше чем за сутки с начала изучения этой темы вообще).
Голова идет кругом, но оптимизм не убывает. Как впрочем у любого приветовца. ТАГИЛ!