Материалы по тегу: vpn

22.09.2020 [21:18], Алексей Степин

Netgear представила VPN-маршрутизатор BR200 для малого и среднего бизнеса

В последнее время компания Netgear публикует немало анонсов новых устройств, в основном — точек доступа Wi-Fi 6 и сопутствующей им инфраструктуры. Но не остаются неохваченными и другие категории потребителей. Поскольку популярность удалённых малых офисов и даже работы на дому сейчас очень высока, специально для таких сценариев компания представила новый маршрутизатор Managed Business Router BR200.

Удалённый доступ во внутреннюю сеть головного предприятия из малых офисов или даже с домашних рабочих мест мог требоваться и ранее, но сейчас, в связи с пандемией коронавируса, подобные конфигурации стали встречаться особенно часто.

Для выхода в «головную сеть» обычно используются различные виды VPN, и здесь BR200 предлагает удобное решение с помощью технологии IPSec VPN, обеспечивая, к тому же, дополнительную защиту за счёт интегрированного межсетевого экрана (firewall). С помощью этого устройства можно организовывать как удалённые рабочие места, так и объединять два различных сегмента сетей, например, головного офиса и подразделений. При этом удобное развёртывание и мониторинг такого подключения может осуществляться при помощи облачной службы Netgear Insight.

Внешне BR200 представляет собой небольшую коробочку, похожую на домашние маршрутизаторы, с габаритами всего 31,4 × 18,75 × 4,365 сантиметра. Внутри расположена плата с двухъядерным процессором, работающим на частоте 1,7 ГГц, причём, SoC имеет и два дополнительных ядра для обслуживания сетевой подсистемы. Такая конфигурация позволяет поддерживать до 256 подсетей VLAN, пропускная способность на участке между LAN и WAN достигает 924 Мбит/с. Поддерживаются подключения как со статическим IP и DHCP, так и PPPoE и PPTP.

Функция IPSec поддерживает шифрование по стандартам DES/3DES, AES/SHA-1 (ключ до 256 бит) и MD5. Маршрутизация может быть статической или динамической, поддерживаются протоколы RIPv1 и RIPv2. Межсетевой экран, реализованный в устройстве Netgear, поддерживает SPI, блокировку портов и сетевых служб, защиту от DoS-атак, а также работу в режиме «стелс».

Всё это достаточно привычный для устройств подобного назначения набор функций и возможностей. Но помимо них, Netgear BR200 поддерживает интеграцию, мониторинг и управление с помощью облачной службы Netgear Insight. Поддерживается как отслеживание аппаратного статуса — температуры и загрузки ЦП, нагрузки на память и состояния Ethernet-портов, так и полноценное облачное управление виртуальными сетями, реализованными с помощью BR200. Заказать новинку можно уже сейчас, стоит она $140.

Постоянный URL: http://servernews.ru/1021267
22.08.2020 [15:14], Илья Коваль

Бета-версия MikroTik RouterOS 7.1 получила поддержку Wireguard VPN

В последней бета-версии RouterOS 7.1b2, которая вышла вчера, разработчики MikroTik добавили долгожданную поддержку Wireguard. Использована эталонная реализация 1.0.0 из ядра Linux 5.6. Для настройки пока можно использовать только CLI, так как в Winbox доступны не все параметры.

Wireguard, напомним, является современной, созданной с нуля реализацией VPN, которая отличается простотой настройки и высоким уровнем защиты. Вместе с тем она достаточно легковесна и имеет высокую производительность, что позволяет использовать её в относительно маломощных системах, включая SOHO и SMB-маршрутизаторы.

Например, есть официальные сборки для OpenWRT и Ubiquiti EdgeOS. А в роутерах Keenetic с прошивкой 3.3 и старше есть встроенная поддержка Wireguard — ранее мы уже рассматривали процесс настройки роутера и клиентов, а также создание собственного VPN-сервера в облаке.

Постоянный URL: http://servernews.ru/1018863
20.07.2020 [10:58], Андрей Крупин

ФСБ России сертифицировала шлюз безопасности ViPNet Coordinator KB 4

Компания «ИнфоТеКС», занимающаяся разработкой VPN-решений и средств криптографической защиты данных, сообщила о получении положительного заключения Федеральной службы безопасности Российской Федерации на программно-аппаратный комплекс ViPNet Coordinator KB 4.

ViPNet Coordinator KB представляет собой шлюз безопасности, предназначенный для организации защищённых каналов связи по классу КВ.

Выданный ФСБ России сертификат удостоверяет, что ViPNet Coordinator KB 4 соответствует требованиям к устройствам типа межсетевые экраны 4 класса защищённости. Решение может применяться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти РФ.

Модельный ряд ViPNet Coordinator KB 4 представлен в четырёх исполнениях — KB100, KB1000, KB2000 и KB5000. Устройства обеспечивают шифрование трафика на сетевом (L3) и канальном уровнях (L2) на скорости до 4,5 Гбит/с, поддерживают различные варианты построения защищённых VPN-каналов связи и возможность создания кластера горячего резервирования (кроме исполнения KB100), допускают экстренное удаление ключевой информации по нажатию специальной аппаратной кнопки, оснащены защитой от вскрытия корпуса и недоверенной загрузки;

Дополнительные сведения о продукте опубликованы на сайте infotecs.ru.

Постоянный URL: http://servernews.ru/1016105
06.04.2020 [19:19], Сергей Карасёв

Synology бесплатно раздаёт лицензии VPN Plus для своих роутеров

Synology VPN Plus позволяет компаниям и организациям устанавливать шифрованные туннели между роутерами и сетями в разных географических областях, а также подключаться клиентам к роутерам посредством VPN для обеспечения безопасного доступам к данным и ресурсам через Интернет.

В рамках поддержки борьбы с коронавирусной инфекцией Synology с сегодняшнего дня по 30 сентября 2020 года предоставляет бесплатные лицензии VPN Plus для маршрутизаторов, поддерживающих эту опцию.

Каждая лицензия Site-to-Site VPN активирует данную функцию для одного продукта Synology, поддерживающего VPN Plus. После активации соответствующая функция доступна в течение неограниченного периода времени. Важно отметить, что лицензия даёт возможность формировать столько туннелей, сколько позволяют характеристики конкретного продукта. При этом, правда, активную лицензию Site-to-Site VPN нельзя будет перенести на другое устройство.

На лицензии для VPN-клиентов акция тоже распространяется. После её окончания цена каждой лицензии, вероятно, останется прежней ($9,99), а для теста Site-to-Site VPN можно будет однократно получить бесплатную 30-дневную пробную версию. Дополнительную информацию о возможностях VPN Plus можно найти на этой странице

Постоянный URL: http://servernews.ru/1007688
08.03.2020 [20:05], Андрей Галадей

В PPPD обнаружена уязвимость 17-летней давности

В демоне протокола Point-to-Point Protocol Daemon (PPPD), который используется для сетевых соединений типа точка-точка, обнаружена уязвимость. Эта брешь существовала 17 лет и позволяла выполнять произвольный код на уровне системы, причём весьма простым способом. 

Для этого можно было использовать специально сформированные запросы на аутентификацию — при отправке особого EAP-пакета (Extensible Authentication Protocol) можно было вызвать переполнение буфера, что давало возможность выполнения произвольного кода от имени root.

pixabay.com

pixabay.com

Ошибка закралась в код проверки размера поля rhostname — для переполнения нужно было лишь отправить очень длинное имя хоста. При этом уязвимыми являются как клиент, так и сервер. В последнем случае это позволяет атаковать клиентские компьютеры через центральный хост.

Проблема актуальна для версий демона с 2.4.2 по 2.4.8 включительно, для устранения проблемы уже вышел патч. Затронутыми могут быть все основные дистрибутивы Linux и вариации *BSD, а также OpenWRT и некоторые решения Cisco, TP-LINK и Synology. 

Постоянный URL: http://servernews.ru/1005474
19.02.2020 [13:15], Андрей Галадей

Intel ConnMan для Linux получил поддержку WireGuard VPN

Intel представила релиз сетевого конфигуратора ConnMan под номером 1.38. В этой версии появилась поддержка WireGuard VPN, что согласуется с его появлением в ядре Linux 5.6, и улучшена работа фирменного беспроводного Wi-Fi демона Intel IWD, который должен стать альтернативой wpa_supplicant. Помимо этого, были исправлены некоторые проблемы, касающиеся поддержки VPN/OpenVPN. 

Сферой применения ConnMan называют встраиваемые и легковесные Linux-системы, где критичным являются малые накладные расходы и нагрузка на систему. 

pixabay.com

pixabay.com

ConnMan является полностью модульной системой, функциональность которой гибко расширяется с помощью плагинов. Поддерживаются технологии Ethernet, Wi-Fi, Bluetooth, 2G/3G/4G, ряд VPN и другие привычные сетевые решения. 

Система базируется на наработках Intel и Nokia — первоначально конфигуратор создавали для ОС MeeGo. Затем его использовали для платформ Tizen, Jolla/Sailfish и других. ConnMan может использоваться в качестве альтернативы NetworkManager и применяется вместо него в ряде дистрибутивов, в том числе десктопных, по умолчанию. 

Новинку уже можно скачать на официальном сайте Kernel.org.

Постоянный URL: http://servernews.ru/1004018
24.01.2020 [20:43], Андрей Крупин

Вышла новая версия системы защиты каналов связи «Континент-АП»

Компания «Код безопасности» сообщила о выпуске новой версии средства криптографической защиты информации «Континент-АП 4».

Комплекс «Континент-АП» предназначен для обеспечения безопасного доступа сотрудников организации к ресурсам корпоративной сети с устройств, не входящих в её защищаемые сегменты. Решение поддерживает технологию VPN-туннелей, шифрование каналов связи с помощью алгоритма ГОСТ 28147-89 и аутентификацию пользователей по сертификатам стандарта X.509.

Главной особенностью обновлённой версии «Континент-АП 4» стала функция быстрого старта, которая позволяет автоматически установить защищённое VPN-подключение после импорта конфигурационного файла, содержащего все необходимые настройки удалённого доступа к IT-ресурсам предприятия. Система в автоматическом режиме определяет точку распространения списка отозванных сертификатов (CDP) и обновляет отозванные сертификаты (CRL), после чего происходит настройка системного прокси и подключение к серверу доступа.

Изменения затронули пользовательский интерфейс продукта, а также функции сбора диагностической информации, мониторинга и журналирования событий безопасности. Дополнительно была проведена работа по обеспечению совместимости «Континент-АП 4» с другими программными решениями разработчика. Более подробные сведения о системе можно найти по ссылке securitycode.ru/products/skzi-kontinent-ap.

Постоянный URL: http://servernews.ru/1002208
22.01.2020 [14:45], Сергей Карасёв

ZyWALL VPN1000: самый мощный межсетевой экран Zyxel

Компания Zyxel представила своё самое мощное решение для виртуальных частных сетей (VPN) — межсетевой экран ZyWALL VPN1000, рассчитанный на использование в сегменте среднего и малого бизнеса (СМБ). 

Новый шлюз поможет компаниям организовать безопасный доступ удалённых офисов и сотрудников к корпоративной информации и наладить её передачу между разными площадками.

Межсетевой экран поддерживает все основные типы соединений VPN и может управлять подключениями IPSec, L2TP, SSL & TLS и PPTP, а также топологиями site-to-site и client-to-site.

Новинка поставляется с лицензией SD-WAN на один год, поэтому это решение можно использовать как в автономном режиме, так и в режиме Nebula Orchestrator с функциями облачного управления. Nebula SD-WAN решает многие проблемы функционирования распределённых сетей, с которыми сталкиваются компании, обладающие географически удалёнными точками присутствия. Прежде всего увеличивается безопасность и скорость соединения. А с помощью оптимизации WAN и динамического выбора маршрута устраняются простои, предотвращаются обрывы соединения при телефонных звонках и видеоконференциях, улучшается качество связи на площадках, где нет стабильного доступа к Интернету.

В новом решении используются эффективные функции защиты сетей, в том числе межсетевой экран с фильтром контента, полностью интегрированная система сервисов безопасности по подписке с фильтром доменов URL и HTTPS и безопасный поиск.

Устройство оборудовано 12 конфигурируемыми портами Gigabit Ethernet, двумя портами SFP и двумя разъёмами USB 3.0. Допускается монтаж в стойку. Габариты составляют 400 × 250 × 44 мм, вес — 3,3 кг.

Более подробная информация о продукте доступна здесь

Постоянный URL: http://servernews.ru/1002000
27.12.2019 [13:14], Андрей Галадей

WireGuard VPN по умолчанию появится в ядре Linux 5.6 и уже доступен для ядер старше 3.10

Модуль VPN WireGuard будет по умолчанию доступен в составе ядра Linux 5.6. Исходный код уже добавлен в net-next, а для более ранних версий ядра доступен новый выпуск модуля out-of-tree.

На данный момент актуальная версия WireGuard имеет номер 0.0.20191219, однако после выхода ядра Linux 5.6 нумерация изменится на схему v1.0.X. при этом обещана обратная совместимость с текущими версиями и старыми ядрами, начиная с Linux 3.10.

arstechnica.com

arstechnica.com

Всё это позволит обеспечивать безопасность без подключения дополнительных модулей и установки сторонних приложений. WireGuard, отметим, выбран за малый размер и высокую скорость, а также прекрасный уровень безопасности. Правда, при наличии уязвимости в Unix-системах, защита собственно канала не спасёт. 

Отметим, что по данным ресурса ArsTechnica, WireGuard может появиться уже в Ubuntu 20.04 LTS, хотя это пока лишь слухи. Впрочем, при наличии поддержки старых ядер, это выглядит довольно-таки вероятным событием. Напомним, что сервис для запуска VPN доступен под все актуальные настольные и мобильные платформы. 

Постоянный URL: http://servernews.ru/1000560
09.12.2019 [16:16], Алексей Степин

Уязвимость в Unix-подобных ОС позволяет перехватывать данные в VPN-соединениях

Технология VPN-туннелей очень распространена и часто используется для допуска в защищённую корпоративную сеть пользователей, работающих удалённо.

Но совсем недавно появилось сообщение о методе атаки, который позволяет подменять или подставлять пакеты в TCP-соединениях IPv4 и IPv6, пробрасываемых через VPN.

Уязвимость получила порядковый номер CVE-2019-1489, она была обнаружена специалистами из Университета Нью-Мексико. Проблема затрагивает почти все UNIX-like операционные системы: Linux, FreeBSD, OpenBSD, Android, MacOS, iOS и другие.

Применяемые в туннелях алгоритмы шифрования не имеют значения: «поддельные» пакеты хотя и поступают из внешнего интерфейса, но обрабатываются ядром, как принадлежащие VPN-интерфейсу. При наличии дополнительных слоёв шифрования (TLS, HTTPS или SSH) вклиниться в VPN-туннель не получится.

Специалисты продемонстрировали успешную подмену для OpenVPN, WireGuard и IKEv2/IPSec. Tor уязвимости не подвержен, поскольку использует SOCKS и lo-интерфейс. В системах с ядром Linux уязвимость для IPv4 напрямую связана с тем, как настроена функция rp_filter (reverse path filtering). В режиме «Strict» уязвимости нет, но дело в том, что начиная с версии systemd 240 по умолчанию используется режим «Loose».

Для защиты VPN-туннелей с адресацией IPv4 достаточно будет переключиться на «Strict», в остальных случаях рекомендуется блокировать прохождение пакетов, у которых в качестве адреса назначения указан виртуальный адрес туннеля. Это временное решение до тех пор, пока в ядра подверженных уязвимости ОС не будет добавлена защита от описанной атаки.

Постоянный URL: http://servernews.ru/999351
Система Orphus