среда, 11 января 2017 г.

VPN Ports

VPN подразумевает шифрование трафика и его дальнейшую инкапсуляцию в один из протоколов транспортного уровня с определенным номером порта. Если между партнерами по VPN соединению есть межсетевые экраны, то на них нужно сделать дополнительные правила для прохождения шифрованного трафика.

Если VPN протокол проприетарный, то необходимую для правил информацию декларирует производитель. Причем многие производители не регистрируют порты в IANA (Internet Assigned Numbers Authority — «Администрация адресного пространства Интернет»), а иногда вообще используют из динамического диапазона (например, UDP 55777 для ViPNet). В ряде случаев, порты могут меняться от версии к версии, как у проприетарного протокола Кода Безопасности. Там их, кстати, довольно много - 16 штук (Таблица на стр. 16-17). 

Со стандартными протоколами все гораздо лучше. Для SSL/TLS правила обычно уже есть по-умолчанию и в дополнительных действиях нет необходимости. Для других наиболее распространённых протоков - MPLS и IPsec, порты стандартизованы и указаны в общедоступной документации на множестве ресурсов.

Далее информация для набора протоколов IPsec, который используется в продуктах С-Терра:

Протокол IKE использует UDP 500.
Протокол ESP при отсутствии NAT – это IP 50, а при наличии NAT он дополнительно инкапсулируется в UDP 4500 (NAT Traversal).

На практике протокол АН применяется довольно редко из-за повсеместного использования NAT, поэтому необходимо 2-3 правила. Они обычно включены в шаблоны большинства популярных межсетевых экранов и выглядят примерно следующим образом:

permit udp any eq 500 host A.B.C.D eq 500
permit 50 any host A.B.C.D
permit udp any eq 4500 host A.B.C.D eq 4500



При переходе на С-Терру с другого оборудования, использующего IPsec, перенастройки межсетевого экрана не потребуется.

Комментариев нет:

Отправить комментарий