Den här rapporten publicerades idag av NSA/CISA och nämns i denna Slashdot-artikel. Rapporten varnar för att installera en only en server som stödjer IKE/IPsec-anslutningar och att den inte ska falla tillbaka till att använda SSL/TLS i ett proprietärt eller icke-standardbaserat protokoll när den inte kan etablera en IKE/IPsec VPN. Vissa kanske inte litar på råd från denna källa men vem ska man lita på?
Synologys VPN-server är inte installerad på min enhet, jag kan behöva tillgång på distans vid ett tillfälle. Det är inte möjligt att avgöra från Synologys dokumentation om deras server uppfyller dessa krav. Jag är ingen nätverksexpert. Wikipedia artikel om OpenVPN nämner att OpenVPN kör ett anpassat säkerhetsprotokoll baserat på SSL och TLS, [11] snarare än att stödja IKE, IPsec, L2TP eller PPTP, vilket skulle diskwalificera det.
Finns det ett IKE/IPsec-alternativ i Synologys server som jag inte ser på dokumentationssidan eller finns det andra pålitliga lösningar som körs på Synology som uppfyller specifikationerna?
TACK
Varför använder du inte Tailscale eller ZeroTier för att få åtkomst till Syno på distans?
Ingen expert men det verkar som att OpenVPN fortfarande möter dina krav eftersom det är open source (inte proprietärt) och använder standarder (snarare än okända saker du inte känner till.) Denna tråd verkar dock off-topic och du bör fråga någon annanstans eftersom det är brett och du inte bryr dig om att använda en VPN ändå.
u/techtornado, tack för förslaget. Jag gjorde en snabb research om Tailscale som använder Wireguard och ser inte att Wireguard använder IKE/IPsec och fortfarande är experimentellt. Det finns ett Synology-tillägg för det men…
Zerotier och Wireguard verkar båda använda icke-standardimplementationer som inte uppfyller de citerade kraven. Ingen av dessa finns med på Product Compliance List från NIAP. Även om den listan är för kommersiella produkter verkar Tailscale ha en kommersiell produkt och säljer abonnemang.
Återigen, jag är ingen nätverksanalytiker, och de kan vara utmärkta produkter men jag söker något som uppfyller checklista-kraven i CISA-rekommendationerna.
Andra idéer? Från vem som helst?
TACK
rc
Varför har du så strikta krav?
Vad är anledningen till att följa den maximala huvudvärken som NSA föreslår?
Är du bunden av regleringsförkortningar?
Om ja, då måste du använda något mer än bara VPN-tjänsten på Synology
Om det måste vara industriell grade-teknik, skaffa något industriellt som en Sophos/Fortinet/ASA
Anledningen till att ZeroTier och Tailscale nämndes är att de inte fungerar som traditionella VPN:er, det är ett peer-baserat system för upptäckt och nätverk, inte en dial-in tunnel.