Proton brengt nieuw 'stealth' VPN-protocol uit

Proton introduceert een nieuw protocol voor zijn vpn-dienst waarmee gebruikers kunnen verbergen dat ze een vpn-dienst gebruiken. Proton noemt het nieuwe protocol 'stealth' en stealth komt als eerste beschikbaar voor Android-gebruikers.

Het Proton VPN stealth-protocol moet 'binnenkort' ook beschikbaar komen op iOS, iPadOS, macOS, Linux en Windows, schrijft Proton. Op dit moment is alleen de introductie op Android voltooid. Daar kunnen gebruikers onder instellingen hun verbindingsprotocol op 'stealth' zetten.

Volgens Proton zorgt stealth ervoor dat de vpn-verbinding niet wordt herkend en eruitziet als een 'normale' internetverbinding. Dit in tegenstelling tot meer standaard protocollen als OpenVPN, IKEv2 en WireGuard, die eerder door netwerken als een vpn-verbinding worden herkend.

Door TLS in plaats van UDP te gebruiken, moet de verbinding met het stealth-protocol niet als een vpn-verbinding herkend worden. Hierdoor is het volgens Proton vrijwel onmogelijk om te herkennen dat het om een vpn-verbinding gaat. Dit is handig voor mensen die in landen wonen waar het gebruiken van een vpn strafbaar kan zijn of voor diensten die vpn-verbindingen proberen te blokkeren.

Naast Proton VPN heeft het bedrijf meerdere internetdiensten. Het Zwitserse bedrijf begon met Proton Mail en heeft recent ook Proton Drive officieel uitgebracht als cloudopslagdienst.

Door Robert Zomers

Redacteur

11-10-2022 • 17:54

82

Submitter: Munchie

Reacties (82)

82
80
37
7
0
32
Wijzig sortering
Als het TLS gebruikt, is het dan niet gewoon een soort relay service?

Ik vind daarnaast "TLS ipv UDP" wel raar genoemd, het gaat om totaal verschillende protocollen. Ik hoop dat TCP bedoeld werd hier? TLS werkt namelijk helemaal niet direct bovenop UDP. Daar heb je wel DTLS voor, maar daar staat niks over in het artikel.

[Reactie gewijzigd door MrFax op 22 juli 2024 23:47]

Het is dus het volgende:
“Stealth does this by using obfuscated TLS tunneling over TCP.”

Zie ook:
https://protonvpn.com/blog/stealth-vpn-protocol/

Dit zelfde kan je ook via OpenVPN & wat ingewikkelder via Wireguard bereiken.

[Reactie gewijzigd door Jonathan-458 op 22 juli 2024 23:47]

Anoniem: 334725 @MrFax11 oktober 2022 21:11
Een VPN gebruikt normaal gesproken UDP voor performance redenen, want je wilt geen TCP over TCP. Door het expliciet over TLS te doen zeg je ook dat het over TCP gaat en op TLS laag encryptie levert, waardoor het op een doodnormale normale https connectie lijkt.
Inderdaad. TLS en UDP verrichten totaal verschillende doelen. Je kan ze zelfs stacken, je krijgt dan iets als QUIC wat gebruikt wordt in HTTP3. Daarin wordt UDP nog als transport gebruikt omdat dit over universele netwerk apparatuur werkt, waardoor ze gebonden zijn aan TCP of UDP (anders wordt de verbinding niet ge-NAT). Echter had QUIC dat niet eens nodig, aangezien ze veel herimplementeren van TCP met nog extra veel features zoals streams priority, connection handovers enz.

Enfin, verder lijkt het verhaaltje over "niet herkend worden" een beetje marketing geblaat. Het is kan minder herkenbaar zijn voor deep packet inspection, maar ook dat is gissen wat voor beveilingssoftware de andere partij draait. Ik denk dat bovendien veel blokkades op basis van IP lijsten gaat, zoals je ook adblockers hebt die met advertentie netwerk domijnen en content matching rules te werk gaan. Er zijn genoeg IP lijsten te vinden waarin "alle" public proxies en VPN providers in staan zodat je ze in jouw router kan blokkeren.

[Reactie gewijzigd door Hans1990 op 22 juli 2024 23:47]

En zelfs bijna crimineel te noemen.
Adverteren dat het bijna onmogelijk is om te detecteren, en daarbij handig voor als je in een land woont waar VPN diensten normaal geblokkeerd worden of zelfs verboden zijn.

Je zult hiermee maar net zien dat je hier als inwoner van zo’n land zomaar even een langdurige vakantie in een hotel met roomservice krijgt….
Doordat je dacht veilig te zijn met deze software.

Het is erg jammer dat ze reclame belangrijker vinden dan de mensenlevens die ze hiermee potentieel in gevaar brengen.
Ik vermoed dat landen die burgers vervolgen op basis van VPN traffic wel "gewoon" de IPs van de tunnel kunnen sniffen en je op die manier kunnen betrappen. Ik kan me ook moeilijk inbeelden dat dit waterdicht zal zijn.
Ik zit zelf in China en maak gebruik van Astrill, die heeft de optie voor "Open", "Stealth" en "WireGuard". Wanneer je naar een server connect, connect je naar een specifiek address. Je merkt hier wel dat wanneer iets gebeurd zoals opkomende verkiezingen dat China weer met VPN's begint te morrelen, IP's vallen weg maar ook moet je soms van protocol gaan, Stealth werkt dan vaak niet, Open dan weer wel.

Ik doe niets gevoeligs maar toch maak ik me enigzins zorgen in hoeverre dit al dan niet opvalt, iedere methode om mijn verbinding verder te maskeren is dan ook zeer wenselijk maar tegelijkertijd ben ik niet technisch genoeg onderlegd om mijn verbinding 100% af te sluiten.
Helemaal mee eens. Stealth is hier een mooie marketing term. Desalniettemin een goede zaak dat zo’n extra “vpn” variant voor de grote doelgroep beschikbaar komt
ITT het artikel:

Stealth is available on all Proton VPN plans, including our Free plan, because everyone deserves online freedom. For now, you can use Stealth on our Android, macOS, and iOS apps.

En ja, dit is gewoon actief en werkend in de iOS app.

[Reactie gewijzigd door Hemingr op 22 juli 2024 23:47]

En hoe zit het met de ip’s? Zullen die geregistreerd staan als ‘gewone’ ISP gebruikers?

Wel zeer interessant.
Het gaat om de communicatie tussen VPN client en VPN server, waar d.m.v. het analyseren van pakketten, het lastiger te achterhalen is of het gaat om een VPN verbinding. Dat staat los van de gebruikte IP-addressen. Als bekend is dat een IP-adres van een VPN server is, dan is het alsnog duidelijk dat het waarschijnlijk om een VPN verbinding gaat.

Of het wel of niet als "gewone ISP gebruiker" te zien is, staat daar los van, en hangt puur af van welke outbound IP adressen de VPN service gebruikt. In het geval van Proton zal daar weinig verandering in zijn: ze gebruiken IP-adressen van datacenters.
Met andere woorden: het wordt iets lastiger voor je provider/overheid om te zien of je een VPN gebruikt, maar voor eind-server die je probeert te benaderen om bijv een website te bezoeken, zal er geen verschil zijn t.o.v. de situatie van VPN zonder Stealth.
Wel kan op basis van bedrag, statistisch geschat worden of het waarschijnlijk gaat om een VPN verbinding gaat.
waar d.m.v. het analyseren van pakketten, het lastiger te achterhalen is of het gaat om een VPN verbinding.
Lastiger, maar niet onmogelijk. Als je je torrents gaat downloaden over deze Stealt VPN ziet het verkeer naar de server er waarschijnlijk opeens heel anders uit dan als je het gebruikt om te browsen. Koppel dit aan het monitoren van veel verbindingen, zoals de chineese firewall doet, en je kunt waarschijnlijk met enige zekerheid de VPN-servers er uit filteren.
Ook ander gedrag kan VPN-servers verraden. Een gebruiker die de hele dag "browser"-verkeer genereert naar een enkele server en niks anders? Vreemd, zeker aangezien de meeste websites content van andere server includen, zoals advertenties en tracking.
Er zou geen verschil te zien mogen zijn tussen een torrent download en een groot bestand downloaden via de browser. Alle trafiek wordt immers door een tunnel gestuurd en de tunnel ziet er voor het netwerk uit als een HTTPS verbinding van de browser.

Maar anderzijds valt het volgens mij wel op als de trafiek allemaal naar slechts 1 IP (de VPN server) gaat. Normaal surfgedrag veroorzaakt HTTPS verbindingen naar tientallen servers verspreid over het continent.

[Reactie gewijzigd door GoBieN-Be op 22 juli 2024 23:47]

Alle trafiek wordt immers door een tunnel gestuurd en de tunnel ziet er voor het netwerk uit als een HTTPS verbinding van de browser.
Het ziet er wellicht hetzelfde uit, maar gedraagt het zich ook hetzelfde? Daar kan een verschil in zitten. Zo is bij een torrent er vrijwel constant verkeer in beide richtingen, bij een gewone browserdownload niet.
TLS VPN gebruikt niet de HTTPS protocol, dus die verbindingen zien er nooit uit als een HTTPS verbinding.

Om te achterhalen of het om een VPN verbinding gaat of niet, kan je op twee manieren:

1) Op basis van L4 headers, dus port/protocollen dus bv 1194/UDP. Dus filtering wordt enkel alleen maar gedaan op basis van de L4 headers. Verder niets. Als je ISP zou filteren op L4 headers, wordt 443/TCP sowieso nooit geblokkeerd. Door 443/TCP te gebruiken kan je het bypassen als ze 1194/UDP blokkeren.
2) Op basis van L7, waar je de applicaties gaat inspecteren maar omdat traffic encrypted is - ga je nooit zien welke applicaties er nu gebruikt worden. Dus je gaat het moeten decrypten wat natuurlijk onmogelijk is voor een ISP omdat zij de private keys (TLS) van bv een web-server of jezelf als gebruiker niet hebben. Wat Next-Gen firewalls doen is dat ze kijken naar de SNI van de public key en op basis daarvan achterhalen ze of het nu gaat om een Netflix of een VPN connectie. Die VPN providers hebben altijd bv protonvpn.com in SNI steken, dus dan is het erg gemakkelijk.

Verder, hun IP adressen zijn allang al gemined geweest in een lijstje met bekende IP adressen van VPN providers. Dus als Netflix dat lijstje heeft, voegt die 'stealth protocol' niks toe. En ik betwijfel dat ISP's L7 inspection doen, dat is gewoon te duur en vereist enorm veel processing power. Als ze het doen, is het maar tot L4 en dat kan je ook omzeilen met OpenVPN door 443/TCP te gebruiken.
Je kunt bv. torrents wel zien omdat er meer upload verkeer is dan bij gewoon surfen. Als je delen van bestanden uitzet dan kun je het nog wel herkennen (maar lastiger) door de hoeveelheid verkeer (mensen lezen een pagina voordat ze weer klikken, een torrent download maar door) en de lengte van de brokken data (torrent is allemaal lekker groot terwijl een webpagina allemaal resources van verschillende lengte bevat). Met tcpdump/wireshark kun je het zelf onderzoeken .
Een enkele server verbinding is niet zo raar. Kijk heel de dag Netflix en dat zal er op lijken denk ik dan.
Je ziet zelfs bij Netflix verkeer dat er verschillende servers gebruikt worden, de indexes, gebruikers-databases, assets etc staan niet op dezelfde servers als de content die je streamt.
Als ik alleen netflix.com open worden er resources geladen van diverse sites/servers, zonder in te loggen.
Wanneer je het netwerkverkeer analyseert en je ziet van ip A 99,9% van het verkeer naar ip B gaan en dat is dan tls over tcp dan heb je geen hogere wiskunde nodig om te bedenken dat er sprake is van een vpn denk ik. Als je vervolgens ziet dat er meer van dat soort verbindingen zijn naar ip B dan kan je wel redelijk zeker zeggen dat ip B een vpn server is.
Wat dat betreft heb ik die service nooit zo goed begrepen; hun lijsten met servers zijn toch bekend? En daardoor hoeft verkeert niet eens meer geanalyseerd te worden om te weten dat (vrijwel) alles dat daarmee een verbinding opzet een vpn cliënt is?
Juist het opzetten van een privé server ergens zou dan werken igv bijvoorbeeld een regime dat het verbiedt.
Wou net hetzelfde zeggen.... dergelijke lijsten met IP adressen van VPN servers zijn vandaag al bekend. Ik zie er de meerwaarde ook niet van in. Aan halve veiligheid heb je niks (zoals een garagist die zegt dat de remmen van je auto in 99 keer van de 100 zullen werken).
Hm. Laat het protocol eerst maar eens wat peer review van cryptospecialisten doorstaan. Maar het is zo te zien niet open source dus dat is lastig.

Ik had liever gehad dat ze een steganografie optie bovenop wireguard hadden gemaakt. Dan had iedereen er wat aan en was de beveiliging een bekend iets.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 23:47]

Dit is open source... Zo te zien gebruiken ze de TLS-mode van Wireguard. Zie bijvoorbeeld:
https://github.com/Proton...s/values/strings.xml#L343
WireGuard heeft geen TLS mode. Ze hebben dit zelf toegevoegd aan WireGuard. Zie: https://github.com/ProtonVPN/wireguard-go

[Reactie gewijzigd door Jerryy op 22 juli 2024 23:47]

Tot nu toe is alles van Proton open source, dus je mag er vanuit gaan dat dit ook open source is / gaat worden.
Ja als het dat wordt dan is het in elk geval eens goed door te spitten door onderzoekers.

Een splinternieuw VPN protocol waar niemand anders nog naar gekeken heeft ga ik niet vertrouwen. Cryptografie is veel te moeilijk daarvoor.
Cryptografie? Ik mag hopen dat ze dat uberhaupt niet doen. Dat hoort in de TLS laag thuis, en een vrij standaard regel is dat je't niet nogeens zelf moet gaan doen. Dus ook niet in je VPN laag.
Niet per se, wireguard heeft alles ook helemaal zelf gemaakt immers. Dat is absoluut niet op TLS gebouwd. Dat wilden ze ook niet want dan kom je al vrij snel terecht op OpenSSL en Wireguard was juist bedoeld om dat soort enorme legacy code afhankelijkheden te vermijden.

Het kan wel als je verstand van zaken hebt, het simpel houdt (dit heeft wireguard heel mooi gedaan: 3800 regels vs OpenVPN/OpenSSL met 600000!) en je werk goed door andere experts laat auditten. De regel is meer dat je er niet aan moet beginnen als je geen expert bent op dat gebied (immers zijn alle TLS implementaties ook door mensen bedacht en gebouwd). Jason Donenfeld is dat duidelijk wel.

Echter geven ze hier te weinig info om hun gebruikte aanpak duidelijk te maken. Of ze op TLS gebaseerd zijn (zoals OpenVPN) of op iets anders... Misschien is het wel een laag bovenop wireguard bijvoorbeeld.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 23:47]

Ik snap je post niet helemaal. Er zijn zat TLS implementaties naast OpenSSL, ik weet echt niet waarom je daar op zou uitkomen.
Correct, I have amended my comment to add the link to our fork of wireguard-go which contains the actual implementation of Stealth (which ultimately is based on WireGuard over TLS)
https://www.reddit.com/r/...tm_medium=web2x&context=3

Dus het is gewoon WireGuard over TLS. Ze hebben TLS geïmplementeerd in WireGuard en dat is het voor zover ik begrijp. Maar dit ziet er aan de buitenkant niet anders uit dan OpenVPN (TLS) en ze beweren dat het eruit ziet als een HTTPS verbinding - wat natuurlijk niet klopt. HTTPS wordt niet eens gebruikt als protocol.

De protocol blijft WireGuard en een degelijk next-gen firewall zou de applicatie herkennen als WireGuard.

[Reactie gewijzigd door Faifz op 22 juli 2024 23:47]

Op het moment dat je gebruikmaakt van een VPN-dienst zoals deze waarvoor hij wordt aanbevolen (dus ingezetene van een land waar het regime VPN verboden heeft) dan vertrouw je ProtonVPN juist impliciet.

Immers: Letterlijk al je verkeer gaat door hun servers.

Waarop baseer jij je 'vertrouwen' in elke (betaalde) VPN-dienst ? Misschien vind jij het grootste gevaar dat iemand kan meeluisteren - maar de 'prijs' die je daarvoor betaald is dat je al je verkeer (ook eventueel onversleuteld HTTP verkeer) vrijwillig door de servers van een andere partij stuurt.
Deze techniek is vooral bedoeld voor landen waar het gebruik van een VPN ansich al strafbaar is (zoals in China bijvoorbeeld). Als ik op reis zou gaan in China dan zou ik het zeker meer vertrouwen dan de Chinese overheid.

Maar dan moet het natuurlijk wel waterdicht zijn.
Als je zo'n partij impliciet vertrouwt, waarom vertrouw je dan niet hun, in je eigen woorden:
Een splinternieuw VPN protocol waar niemand anders nog naar gekeken heeft ga ik niet vertrouwen.
Dát was het deel wat ik niet begreep.
Als je naar China op vakantie gaat kun je op je eigen smartphone elke vpn dienst gebruiken.
De Chinese firewall herkend dat het een EU telefoon is en laat dit gewoon door.
Meerdere keren in China geweest en nooit een probleem daarmee gehad.
Zonder vpn merk je wel dat je niet altijd overal naar toe kan op het web als je niet in een toeristenval of hotel bent.
Anoniem: 1733082 @Z8012 oktober 2022 03:27
Dat klopt. Sterker nog, als je een Chinese simkaart koopt en deze onderweg naar het Chinese vaste land even activeert in Hong Kong dan is het technisch ook roaming en loopt al je dataverkeer in China zelf via Hong Kong, maar met het voordeel van lokale tarieven voor datapakketten. Roaming routeert namelijk altijd al je dataverkeer via je thuisland en dan is een vpn niet eens nodig om blokkades te omzeilen. Zo kon ik gewoon Google bereiken via 4G in China terwijl dat via wifi van het hotel niet mogelijk was.

Dit effect kan ook een nadeel zijn als je op een verre bestemming je simkaart van thuis gebruikt. Het kan namelijk nogal traag worden allemaal, zeker als je lokale diensten wilt bereiken omdat data dan 2 keer de halve wereld over moet. Op verre bestemmingen is een lokale simkaart daarom vaak toch een must.

[Reactie gewijzigd door Anoniem: 1733082 op 22 juli 2024 23:47]

Nee, niet alles. Zo is bijvoorbeeld de back-end van hun mailservice niet open source vanwege veiligheid het beschermen van hun bedrijfsmodel.

Je moet ProtonMail dus maar op hun blauwe ogen geloven dat alles veilig is en dat ze niet meewerken aan twijfelachtige rechtsverzoeken. Ik vind dat ze een heel mooi systeem hebben, maar ik zou het alleen willen gebruiken als ik het zelf kan hosten. Dan kan je ook meteen controleren dat de code die je download ook de code is die je uiteindelijk (gecompiled) gebruikt, wat ook meteen hun eerste argument onderuit haalt.

Vergis je niet: voor dat de mail jouw inbox bereikt, gaat deze onversleuteld door hun systemen.
Dat ligt er maar net aan. Als je gewoon netjes je mail gpg encrypt dan gaat de mail encrypted naar mailserver en kan deze enkel decrypt worden met de private key die bij de publieke sleutel van de geadresseerde hoort. Die publieke sleutel kan je gewoon naar een keyserver uploaden.

Hier heb je overigens geen protonmail voor nodig. Dit kan met iedere partij die mail voor je wil aanbieden of als je het zelf host kan het ook.

Wat wel klopt is dat "standaard" mail unencrypted verstuurd zal worden. Maar je kan er prima voor kiezen dit niet te doen naar mensen die encrypted mail kunnen ontvangen. De server zal niet meer zien dan --- BEGIN GPG ENCRYPTED MESSAGE --- en daarna enkel random tekens :Y)
Niet helemaal willekeurig maar genoeg om niet zomaar ontsleutelt te kunnen worden 😜
Is TCP/TLS niet veel langzamer dan UDP?
Yep. Maar het heeft dan ook wel wat extra’s tov UDP..
Dit kan je ook bereiken met openVPN, google op shadowsocks of v2ray. Als je in China woont huur je gewoon een VPS in Singapore, je installeert shadowsocks server op VPS en shadowsocks client op je telefoon en klaar. Nu kan je VPN functie toepassen, firewall ziet gewoon een nornale https connectie (alsof je aan het browsen bent).
Valt het niet op dat je maar op 1 server zit te "browsen"?
Blijkbaar niet, dit is namelijk de manier om de beruchte chinese firewall te omzeilen. Ik denk dat als er wel een analyse gedaan wordt (niet door een algorithme) maar door een persoon zelf dat het misschien 'verdacht' eruit kan zien. Maar dat hoeft niet altijd zo te zijn volgens mij...
Anoniem: 1582350 @sfc197112 oktober 2022 19:22
Nee hoor, velen zitten toch op Pornhub of andere van hetzelfde soort sites. ;)
Is dit protocol getest in China?
Hopelijk niet, want als China het goedkeurt zit er ongetwijfeld een backdoor in.
Anoniem: 767041 @Jim8011 oktober 2022 18:53
china keurt geen enkele vpn goed aangezien alles is geblockt aan vpn's daar.
dus als dit protocol werkt zoals expressvpn en sommige andere aanbieders is het een perfecte oplossing
Niet alleen in China....
Je wordt omlaag gemodereerd, maar het is een terecht vraag. De Great Firewall gebruikt technieken als DPI en active scans van servers om VPN's te detecteren.

Uit eigen ervaring weet ik dat er manieren zijn om daaromheen te werken. Je hebt daarvoor een niet besmet (voor China 'schoon') endpoint nodig buiten China, en een protocol dat niet door de Great Firewall wordt herkend als VPN (via DPI en via active scan).

[Reactie gewijzigd door The Zep Man op 22 juli 2024 23:47]

OpenVPN is ook perfect bruikbaar op TCP, het heeft dan natuurlijk wel ook de nadelen van TCP erbij, met een hoop extra bevestigingspakketjes wat in een snelheidsverlies van een 10-20% resulteerd.

Ik hoop dat dit niet hun enigste verbetering is (TCP gebruiken ipv UDP), want anders is het maar een heel magere verbetering.
Ik ga Proton het voordeel van de twijfel geven en het uitproberen. Ze hebben op het gebied van open source en audits en goed trackrecord namelijk. Normaal gebruik ik altijd Wireguard wat al veel lagere ping heeft en hogere snelheden. Maar met Stealth is het helemaal snel!

Ik krijg in elk geval minder captchas bij het gebruik van Google

Source Code al beschikbaar: https://github.com/ProtonVPN/wireguard-go

[Reactie gewijzigd door pim1896 op 22 juli 2024 23:47]

Nieuw is dit niet.
Watchguard heeft dit (VPN over TLS) al langer deze optie in hun firewalls zitten.
SSLVpn? Heeft Fortinet ook.. mooi spul. Watchguard is vrij eenvoudig te regelen, zelfs met AD authenticatie. Kan bij Forti ook vast wel maar WG is zoveel makkelijker
Ja die hebben ze ook idd. Al heel lang. Maar ben even in de war. De tls versie voor een site2site verbinding .

Maar ze zijn daar al langer in. Dus in mijn ogen is dit niet nieuw 😅
Nee, IPSec wordt gebruikt voor S2S wat natuurlijk geen TLS is. OpenVPN heeft de mogelijkheid om S2S verbindingen op te zetten wat TLS gebruikt, maar IPSec is de standaard voor S2S.
IPSec is ook een optie (ook meest gebruikt), maar watchguard heeft ook de TLS optie.

https://www.watchguard.co...al/bovpn_tls_about_c.html

Misschien eerst even kijken voordat je dingen gaat roepen ;)
Het is niet eens duidelijk wat jij beweert. Je reageert op iemand die het heeft over remote access VPN en geen S2S. Beweer je nu dat TLS VPN enkel alleen gebruikt wordt voor S2S? Want hun zogenaamde 'Mobile VPN' is TLS VPN en dit is geen S2S natuurlijk.

Of ze nu TLS ondersteunen voor S2S is niet eens relevant, andere vendors ondersteunen dit niet. Je hebt enkel alleen maar policy based routing dus als je zou willen dat routes dynamisch toegevoegd willen worden, dan gaat het alleen maar met IPSec. Dit is cruciaal voor grote omgevingen, hoor.
Ik beweer helemaal niks..

Ik geef aan dat Watchguard SSL VPN al langer heeft, net als @DigitalExorcist ook dat aangeeft voor fortigate. Dat is voor de gewone gebruiker.
Ik was qua TLS even in de war, want bij Watchguard hebben ze ook BOVPN (S2S) via TLS. Naast IPSec.
Je beweert data S2S alleen maar via IPSec kan, wat dus niet het geval is bij watchguard. Daarom de link die aangeeft dat het via TLS kan. Als je de link leest, staat NERGENS het woord IPSec...

En ter info> BOVPN = Site2Site VPN (BOVPN > Branch Office VPN)

Je hebt duidelijk nog nooit met WG gewerkt, maar lopen wel eens voor op de rest, zonder dat de rest het weet :)

Maar in andere worden, wat proton nu uitbrengt als nieuw, is langer beschikbaar bij echte beveilgings bedrijven ;)

[Reactie gewijzigd door Renegade666 op 22 juli 2024 23:47]

Als jij eens de link eens zou lezen, zou je merken dat SD-WAN (wat S2S tunnels zijn) geen TLS gebruikt. Dus heb ik uiteindelijk gelijk. Het werkt pas vanaf een bepaalde versie. Alleen een irrelevante/scheve vendor zoals WatchGuard zou TLS voor S2S ondersteunen, terwijl als je jaren ervaring hebt met fatsoenlijke firewalls ga je er vanuit dat TLS S2S niet ondersteund wordt.

En nee WatchGuard loopt redelijk achter, hun Mobile VPN is gewoon OpenVPN in een ander kleurtje. Leuk een wizardje volgen omdat ik technisch onbekwaam ben om een VPN manueel in te stellen en vervolgens laat ik de default regels staan die de wizard heeft toegevoegd (allow VPN-users to trust any any). De VPN client heeft vrijwel weinig tot geen functionaliteit en security wise doet het letterlijk niets. Vergelijk het eens maar met GlobalProtect van Palo Alto Networks - dat is gewoon een hele platform/infrastructuur van een VPN wat ook samenwerkt met Prisma Access (cloud).

WatchGuard is gewoon geen goed product, initieel is het wel goedkoop totdat je jaarlijks voor die 17x subscription services moet gaan betalen die 90% van de system engineers niet eens gebruik van maken. De PA-400 series zijn eigenlijk veel voordeliger en je hebt maar een stuk of ~6 subscriptions waar je voor betaalt. De regels die je kunt maken op een WG is gewoon hopeloos slecht. IPS dat je kunt aanzetten = volledig nutteloos want traffic is encrypted dus firewall ziet niks. IPS is ook zoiets dat outdated is en dit vind je niet eens terug in een Palo Alto. En als je gebruik wil maken van de subscription services, ga je hun HTTPS/DNS proxy regels moeten gebruiken - wat geen flexibiliteit biedt.

Voor een klassieke L4 regel, kun je op een FortiGate/PAN gewoon kiezen welke threat preventions je wilt zoals: Anti-Virus, Anti-Spyware, URL filtering, file blocking, DLP, sandbox inspection etc. Dit kan je dus niet op een WG - want je gaat die domme proxy regels moeten gebruiken. Wat natuurlijk alleen maar werkt voor HTTPS/DNS/FTP ofzo.
Tjah, kunnen hier een hele discussie gaan maken, Maar A) we komen er toch niet uit, B ) alles wat je roept is gewoon configureerbaar. Ja, het word standaard makkelijk gemaakt, maar je kunt alle kanten op. C) ik heb leukere dingen te doen dan over werk te praten :)

[Reactie gewijzigd door Renegade666 op 22 juli 2024 23:47]

Op dit item kan niet meer gereageerd worden.