[gull] Zywall 70 / Remote Security Client

[magnus]

On Wed, 23 Jul 2008 22:24:56 +0200, Félix Hauri <felix at f-hauri.ch> wrote:
> On Mon, Jul 21, 2008 at 07:12:51PM +0200, Cyril Jaquier wrote:
>> Bonjour,
>> 
>> >JE NE SAIS PAS dans quelle mesure OpenVPN est compatible avec le VPN
>> >de ZyXEL, mais dans l'absolu, il vaut mieux tout reprendre à zèro
>> >(moins compliqué, moins risqué, etc.)
>> >
>> 
>> OpenVPN n'utilise pas un protocole standard [1]
> Reste à savoir/définir ce que ``standard'' veux dire...
> IPSec est une sorte de standard propulsé par des sociétés qui
> ont des perspective de revenus sur le commerce de clefs.

heu... à quelle moment est-il obligatoire d'acheter des clés pour
utiliser Ipsec?
On m'aurait menti?

> De fait, la gestion et la maintenance des clefs pour l'ensemble
> du processus de confiance est complexe et tend à la sous-traitance.
> De fait égallement la confiance partagée et gérée par des organismes
> tiers, souvent basé hors de nos frontières, est tâchée d'erreures
> d'enregistrement (par laxisme, bien souvent, les abus, fausses
> déclarations etc sont très faciles.)

de quoi est-il question ici? je ne comprends pas la référence.

> Par conséquent le niveau de confiance que JE concède à ce système
> est nettement inférieur à ce que je peux comprendre et apréhender
> de manière autonome et reconnue au sein d'un groupe d'utilisateur
> donné.

Encore une fois, je ne comprends pas ce qui est moins obscure dans IPSec ou
dans OpenVPN?

On compare ici, il me semble, un logiciel et un protocole (qui n'est pas
propriétaire mais implémenté différemment par nombre de fabriquant,
comme TCP :-) ).


>> donc pas de chance avec le Zyxel. Je tenterais un coup de Google
>> avec "ipsec zywall" et aussi "racoon zywall" voir un "vpnc zywall".
>> 
>> J'adore vpnc qui est super simple à configurer. Il fonctionne avec du 
>> Cisco et du Netscreen entre autre. Mais pas sûr que ça fonctionne avec
> 
>> un Zywall.
> J'ai déjà utlisé vpnc, essentiellement pour accéder à des routeurs
> Cisco. (point final, car après c'est le noir complet.
> )
> 
> Bref, pour établir une ``chaine de confiance'', je commence par
> bannir tout ce qui est obscure (propriétaire et fermé en particulier).
> 
> OpenVPN s'impose par conséquent, car il permet d'inter-connecter
> des réseaux TCP-IP, (il existe également une possibilité de ``bridger
> de l'Ethernet'' et ainsi de profiter d'un serveur DHCP distant, p.ex)
> 
> Les protocoles Ethernet, IP, TCP sont des standards!
> OpenVPN permet de créer des tunnels virtuels pour et par
> ces standards.
> 
> De plus, il fonctionne sous:
>  Linux  >=  2.2, Solaris, OpenBSD 3.0, Max OS X Darwin, FreeBSD,
>  NetBSD, Windows, 64 bit (Alpha, Linux et FreeBSD), ARM...
> 
> Reste à définir ce qui est ``standard''...
> 
> Si le but est de se connecter un à ZyWall, je ne pense
> pas qu'OpenVPN le fasse, mais je doute que vpnc soit
> beaucoup mieux. - Au passage, je serais intéressé de
> savoir si vpnc sais faire cela -
> 
> Si le but est d'obtenir la même fonctionnalité, alors
> ma recommendation est de firewaller, natter, tunneliser
> et même tunner avec linux (ou bsd;-)...

Les gens qui achètent des "appliances" de sécurité le font pour se
simplifier la vie car ils n'ont pas envie de faire une gestion comme tu la
décris et pour la sensation de confort qu'elles amènent.
Par contre, à partir du moment où on a qqch qui sort de la norme, on se
retrouve seul.


> Nettement plus accessible à court terme et plus viable
> à long terme.

oui et non, car cela implique des connaissances qui ne sont pas forcément
nécessaires dans le cas de l'"appliances" (tant qu'on a le mot de passe et
on sait qu'il existe, mais c'est le même problème pour toute les
solutions).


-- 
magnus