Назад | Перейти на главную страницу

Huawei Secospace USG 2000 на порту, отличном от порта по умолчанию

Я хотел бы знать, какой порт IPSec используется по умолчанию. Я пытался подключиться ко всем портам по умолчанию, но мне это не удалось. Кроме того, я применил к ним NMap, но не получил ответа.

Обычно обмен ключами ISAKMP происходит по протоколу UDP / 500. IPSec в режиме инкапсуляции-безопасности-полезной нагрузки имеет свой собственный номер протокола (50), поэтому вопрос "порты"не применяется. IPSec в режиме обхода NAT часто использует UDP / 4500, но если вы не уверены, что находитесь в режиме NAT-T, это не применимо.

Первая проблема со сканированием портов, даже для подсистемы ISAKMP, заключается в том, что это не TCP, поэтому вы не можете использовать трехстороннее рукопожатие, чтобы подтвердить, что он прослушивает перед могли возникнуть любые проблемы, связанные с протоколом. Более того, многие устройства IPSec настроены так, чтобы полностью игнорировать запросы, поступающие не от одноранговых узлов, с которыми они настроены для взаимодействия, или трафик, не соответствующий протоколу. Это якобы для "безопасность"причины, но на самом деле это основная PITA, и она может объяснить, почему ваша nmap сканирование ничего не показывает.

В случае некоторых очень дергающихся межсетевых экранов Checkpoint, с которыми мне когда-то приходилось взаимодействовать, как только было сделано предложение IPSec, которое содержало что-нибудь чем они были недовольны (в данном случае одна сторона хотела включить сжатие, а другая - нет), они пошли «мертвым в воде» - совершенно молчали - вместо того, чтобы согласовывать альтернативные параметры соединения, несмотря на то, что партнеры были им хорошо известны. Если бы не очень хороший инженер контрольно-пропускных пунктов в C&W и ее умелое использование высокопоставленных руководителей C&W для опоры на Nokia, я не думаю, что мы бы Когда-либо выяснили, почему их КПП молчали о нас.