Gepubliceerd: Donderdag 8 januari 2009
Microsoft publiceert vrijdag de officiële bèta van Windows 7. Het besturingssysteem biedt nieuwe functies voor onder meer netwerkbeheer en beveiliging.
Toon volledig artikel
Ingebakken VPN
Om dit te bereiken heeft Microsoft een aantal nieuwe applicaties uitgebracht. Met het programma 'Direct Access' zouden VPN-verbindingen niet meer nodig zijn. It-beheerders kunnen, met behulp van Windows Server 7, beveiligde ipv6-verbindingen opzetten.
O jee. En welk estandaard mag dit dan wel zijn?
Ik vrees dat dit is op basis van een leverancier gebonden formaat en niet zoiets opens als bekende standaarden als ipsec.
Iemand?
"IPsec is supported by the Microsoft Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP, and Windows 2000 operating systems and is integrated with the Active Directory directory service. IPsec policies can be assigned through Group Policy, which allows IPsec settings to be configured at the domain, site, or organizational unit level."
Deze pagina geeft een redelijk overzicht van de IPSec ondersteuning in Windows.
Hier staat een Webcastover IPSec 'deployment' in Vista.
Hans Bos, Microsoft NL.
Klinkt als een Windows only verhaal. Dus dat ik geen VPN verbinding kan opzetten via Linux/Mac naar een remote desktop. Of is daar wel een oplossing voor?
Wikipedia maar even erbij gepakt. Klik.
[url="http://en.wikipedia.org/wiki/Ipsec"]Software Implementations
[/url]
IPsec support is usually implemented in the kernel with key management and ISAKMP/IKE negotiation carried out from user-space. Existing IPsec implementations often include both. However, as there is a standard interface for key management, it is possible to control one kernel IPsec stack using key management tools from a different implementation.
Because of this, there is sometimes confusion as to the origins of the IPsec implementation in the Linux kernel. The FreeS/WAN project made the first complete and open source implementation of IPsec for Linux. It consists of a kernel IPsec stack (KLIPS), as well as a key management daemon (pluto) and many shell scripts. The FreeS/WAN project was disbanded in March 2004. Openswan and strongSwan are continuations of FreeS/WAN. The KAME project also implemented complete IPsec support for NetBSD, FreeBSD. Its key management daemon is called racoon. OpenBSD made its own ISAKMP/IKE daemon, simply named isakmpd (which was also ported to other systems, including Linux).
However, none of these kernel IPsec stacks were integrated into the Linux kernel. Alexey Kuznetsov and David S. Miller wrote a kernel IPsec implementation from scratch for the Linux kernel around the end of 2002. This stack was subsequently released as part of Linux 2.6, and is referred to variously as "native" or "NETKEY".
Thus, the current Linux IPsec stack did not originate from the KAME project. As it supports the standard PF_KEY protocol (RFC 2367) and the native XFRM interface for key management, the Linux IPsec stack can be used in conjunction with either pluto from Openswan/strongSwan, isakmpd from the OpenBSD project, racoon from the KAME project, or without any ISAKMP/IKE daemon (using manual keying).
The new architectures of network processors, including multi-core processors with integrated encryption engines, suggested some changes in the way the IPsec stacks are designed. A dedicated Fast Path is now commonly used to offload IPsec processing (SA, SP lookups, encryption, etc.). These Fast Path stacks must integrated on dedicated cores with Linux or RTOS running on other cores. These OS control ISAKMP/IKE in the Fast Path IPsec stack on separate cores.
There are a number of implementations of IPsec and ISAKMP/IKE protocols. These include:
6WINDGate, Network processor MPU Fast Path IPsec stack
NRL [1] IPsec, one of the original sources of IPsec code [2]
OpenBSD, with its own code derived from NRL IPsec
the KAME stack, that is included in Mac OS X, NetBSD and FreeBSD
"IPsec" in Cisco IOS Software [3]
"IPsec" in Microsoft Windows, including Windows XP[4] [5], Windows 2000[6], Windows 2003[7], and both Windows Vista and Windows Server 2008 [8].
SafeNet QuickSec toolkits [9]
IPsec in Solaris [10]
IBM AIX operating system
IBM z/OS
IPsec and IKE in HP-UX (HP-UX IPSec)
"IPsec and IKE" in VxWorks [11]
Klinkt als een Windows only verhaal. Dus dat ik geen VPN verbinding kan opzetten via Linux/Mac naar een remote desktop.
Ik heb het verhaal nageplozen en het ziet er geheel uit als de standaard IPSec implementatie, volgt alle zaken die je normaal bijvoorbeeld bij een CheckPoint IPSec opstelling tegen zou kunnen komen.
Voor zover ik kan zien zou het niet onmogelijk moeten zijn om vanuit de Linux IPSec implementatie een connectie op te kunnen zetten met de IPSec omgeving binnen windows.
Het zal wat (documentatie) leeswerk vergen, maar dat moet voor Linux gebruikers niet iets onoverkomelijks zijn.
Als jij het dan al waagt om je tot mij te richten:
1. Wil je dan alsjeblieft de beleefdheid willen hebben om in te gaan op de inhoud van mijn post.
2. Je te onthouden van reclameverhalen over Microsoft.
Dus:
Ondersteunen jullie hier een Open Standaard?
of
Is het weer een eigen maaksel waarin je alleen in een Microsoft only omgeving iets hebt?
Dit was de achtergrond van mijn Post. Duidelijkheid graag!
Als jij die hier niet wilt geven, dan verzoek ik je om van een verdere reactie af te zien.
LOL. Een antwoord van iemand bij MicroSoft en gelijk in paniek. Je hele reputatie in de Linuxgemeenschap is nu te gronde! :P
Een antwoord van iemand bij MicroSoft en gelijk in paniek. Je hele reputatie in de Linuxgemeenschap is nu te gronde!
LOL :-)
Nee echt, de hele Linux gemeenschap is nu volledig verslagen, omdat een Microsoft Blog Technical Evangelist zijn "wij van WC-eend" verhaal doet op IDG's Webwereld (IDG = p0wned by Microsoft).
Microsoft is wat mij betreft top entertainment, met haar amusante Callimero gedrag, FUD en vaporware. Ik zit al met smacht te wachten over de eerste amusante berichten over Vista 7.
Een ding moet je Microsoft toch nageven: Comedy Central kan er bij lange na niet aan tippen :-)
. Je te onthouden van reclameverhalen over Microsoft
Ga jij eens stoppen met het promoten van linux in Windows, of Micrsoft gerelateerde discussies ?
Bovendien is het geen reclame nmaar het beantwoorden van een vraag die je zelf stelt. als je het antwoord niet wilt horen dan moet je het ook niet vragen.
Het lijkt me zelf trouwens prima als Microsoft medewerkers concrete vragen beantwoorden over hun nieuwe producten.
Bovendien is het geen reclame maar het beantwoorden van een vraag die je zelf stelt.
Dat wil dan weer wel in twijfel trekken. L4E stelt zijn vraag misschien niet heel helder, maar ik maak er toch wel uit op dat hij vraagt of het een open IPSec implementatie is. Hans Bos reageert daar niet op, maar vertroebelt het eigenlijk meer. Dus ik deponeer nog maar eens de vraag of het een Open IPSec implementatie is? Of heeft Microsoft het wiel weer opnieuw uitgevonden om de concurrentie dwars te zitten?
Nou ik vond het weel duidelijk dat directAccess een IPsec implementatie was.
Expliciet communiceert DirectAccess via IPv6-over-IPsec
Microsoft heeft geen vlekkeloze reputatie als het gaat om het implementeren van standaarden die niet uit het eigen bedrijf komen, dus ik ben er niet helemaal gerust op dat MS-ipsec helemaal aansluit op producten van andere leveranciers.
Eerst zien, dan geloven.
Het lijkt me sowieso een feature die voorlopig nog niet zo populair zal zijn aangezien ipv6 gewoon nog weinig gebruikt wordt.
maar is dat een vrijbrief om dan maar weer een nieuwe Microsoft only standaard neer te zetten? Ik zou juist hopen dat Microsoft zich eindelijk wat meer op interoperabiliteit zou richten. Het is hartstikke leuk dat ze hun specs uiteindelijk vrij geven, maar het zou wel weer een nieuwe implementatie zijn waarvoor weer code geschreven moet worden.
Ik was in de veronderstelling dat er meer dan één implementatie van IPsec bestond.
getuige ook Wiki's lijstje:
here are a number of implementations of IPsec and ISAKMP/IKE protocols. These include:
* 6WINDGate, Network processor MPU Fast Path IPsec stack
* NRL [1] IPsec, one of the original sources of IPsec code [2]
* OpenBSD, with its own code derived from NRL IPsec
* the KAME stack, that is included in Mac OS X, NetBSD and FreeBSD
* "IPsec" in Cisco IOS Software [3]
* "IPsec" in Microsoft Windows, including Windows XP[4] [5], Windows 2000[6], Windows 2003[7], and both Windows Vista and Windows Server 2008 [8].
* SafeNet QuickSec toolkits [9]
* IPsec in Solaris [10]
* IBM AIX operating system
* IBM z/OS
* IPsec and IKE in HP-UX (HP-UX IPSec)
* "IPsec and IKE" in VxWorks [11]
Ik ben dus erg benieuwd of daar met Windows 7 weer een nieuwe bij komt en of het mogelijk is vanuit ander platforms verbindingen te leggen.
Ik was in de veronderstelling dat er meer dan één implementatie van IPsec bestond.
Idd. En ik ben hier niet zo in thuis, maar het feit dat de windows-implementaties als "ipsec" (incl. aanhalingstekens) worden genoemd impliceert mogelijk dat de auteur van het artikel van mening is dat het geen zuivere, 100% compatibele implementaties zijn. Lijkt me dus niet zo vreemd om hier even op door te vragen (al had de toon inderdaad wel iets anders gemogen).
En als dhr. Bos niet moedwillig om de hete brij heendraait maar het antwoord gewoon niet weet is het natuurlijk helemaal geen schande om /dat/ toe te geven ;-)
DirectAccess uses IPv6-over-IPsec to encrypt communications transmitted across the Internet.
Eigenlijk is DirectAccess best wel gevaarlijk. Door IPv6 krijg je een uniek IP adres die overal ter wereld vandaan te benaderen is, en dat wordt hier gebruikt. Als je dit aanzet en een fout maakt in de configuratie ga je nat.
Het vergt of een andere manier van denken en beveiligen, of je zult toch gewoon VPN moeten gebruiken.
Overigens zit IPv6 al in XP verwerkt en is er een Teredo tool om IPv6 verkeer over IPv4 te laten lopen. En veel firewalls en proxy server kunnen niet goed overweg met IPv6.
Een MS ISA 2006 server laat IPv6 verkeer bijvoorbeeld gewoon door (laatst van een MS figuur gehoord op een NGN IPv6 bijeenkomst).
Voorlopig vertikken Microsoft en haar trollen het hier om inhoudelijk op het centrale thema in te gaan.
Nog even voor de duidelijkheid:
Het centrale thema is:
Gaat het hier om een Open implementatie van IPSec?
Of gaat het hier weer om een "verbeterde" implementatie van een "verbeterde" van een Open Standaard?
Wowsa,
Iedereen is tegen jou he?
Waar maak jij nu uit op dat er nu opeens Microsoft trollen op webwereld zitten?
Ben wel van mening dat je echt anders zou mogen reageren. De wijze waarop jij denkt te moeten reageren geeft absoluut geen pas.
Zelf hang jij je Linux doosje aan, waarom mogen andere mensen geen Apple of Windows aanhangen?
Laat mij raden........... Je bent op zoek naar een andere Webwereld aanlognaam?
zwart-wit.... Hmmmm.
Zelf hang jij je Linux doosje aan, waarom mogen andere mensen geen Apple of Windows aanhangen?
Aan mij kun je bijna alles kwijt, Linux, Mac, xBSD en vroeger OS/2. Dat is echt allemaal goed spul, waar ik langdurig met plezier mee kan wewrken. Het criterium is: Het moet goed en beheerbaar zijn, zonder dat je om de haverklap aan de slag moet met reparatie software en periodiek de hele handel moet omgooien vanwege "verbeteringen" en veranderingen.
Laat mij raden........... Je bent op zoek naar een andere Webwereld aanlognaam?
Nee, mis poes. Ik ben gelukkig met mijn Nick en al te veel ruzie heb ik hier niet. Af en toe een klein beetje, maar dat is voor de pret.
Goed weekeinde. :-)
Als jij het dan al waagt om je tot mij te richten
Sjonge, wat zijn we weer vriendelijk. Hij probeert je antwoord te geven. Dat je daar niet helemaal uit kunt halen wat je wilt weten dat staat daar lijkt me los van. En TechNet marketing? TechNet is de technische support site van MS.
Dus:
Ondersteunen jullie hier een Open Standaard?
Waarom is dat relevant? Je vraagt of IPSec ondersteund wordt. Antwoord: ja (ok, had handiger geformuleerd kunnen worden). Als de feature waar het je omgaat geen standaard ondersteunt, dan heb je een mogelijkheid om toch via een standaard te communiceren. Dat lijkt me het belangrijkste. Even een vergelijking: in mijn auto zit een automaat en die werkt precies zoals alle andere en dus kan iedereen ermee rijden. Er zit echter ook een extra feature op waarbij ik semi-automatisch kan schakelen. Die is specifiek voor mijn type auto. Hetzelfde zie je ook bijvoorbeeld met Windows Communication Foundation. Je kunt prima communiceren via SOAP en WS-* met alles ter wereld wat die standaarden ondersteunt. Wil je niet de overhead van XML, dan kun je ook een native Windows protocol gebruiken wanneer je Windows-to-Windows doet. Beide varianten kunnen prima naast elkaar gebruikt worden, dus je kunt de client ook de keuze geven.
Dit is gebaseerd op het opensource systeem Toredo (?) als ik het goed schrijf. Hierover heeft Steve Riley iets verteld tijdens afgelopen TechEd in Barcelona.
Een soort gelijk systeem is overigens nu ook al op te bouwen met Windows Vista en dus die op linux draaiende Toredo Server. Microsoft loopt hier natuurlijk niet mee te koop ;)
Via mijn TechNet abonnement kan ik hem al downloaden, echter de aanvraag voor een licentie sleutel geeft nog een vervelende foutmelding... Naja geïnstalleerd is hij al wel... ;-)
Met het uitbrengen van de bèta zegt Microsoft op schema te liggen voor de definitieve versie die 'begin 2010' op de markt moet verschijnen.
Ah, het eerste uitstel ? Laatste melding had het toch over 'voor de kerst 2009' ?
En ik weet dat dat niet bevestigd was, maar het gaat in ieder geval lekker met het 'communiceren van een releasedatum die ook daadwerkelijk wordt gehaald wordt'(Jon DeVaan) met 'begin 2010'.
Ah, het eerste uitstel?
Nope, al een tijdje het officiële standpunt van Microsoft. Alle andere datums zijn speculatie van de pers om maar iets te schrijven te hebben.
Mooie advertentie weer. En wat een gelul!
Hoezo nieuw "Ingebakken VPN". Het is al jaren mogelijk om zonder tussenkomst van een client en/of server een beveiligde verbinding op te zetten. Enne, Hans, Server 2007 zit niet in je lijstje!
"Branche cache" bestaat al tientallen jaren. Wel eens van "caching proxy" gehoord?
"AppLocker" ?!? Als een applicatie alleen wil draaien met power user of administrator rechten kun je 'm direct al afschieten (en dus niet installeren). Heb je AppLocker dus niet voor nodig.
En dan nog dat tussentijds overstappen op Vista. Dat gelooft toch geen hond meer! Denk MS nu echt dat ik klanten ga adviseren om nog Vista te doen? MS vergeet nog wel eens dat de meeste mensen/bedrijven 'gewoon' de programma's willen gebruiken. Het OS kan ze geen reet schelen.
Voor thuis omgevingen kan ik Vista nog begrijpen; leuk om mee te spelen. In werkomgevingen is het de bedoeling dat ermee gewerkt wordt.
Ik zal niet overal op 'happen'. Aangenomen dat het artikel en je commentaar met "Windows Server 7", eigenlijk de "Windows Server 2008 R2" bedoelen, staat hier informatie in over Direct Access en de IPSec ondersteuning van 2008 R2:
Windows Server 2008 R2 Reviewers Guide
In de reviewers guide en andere informatie die te vinden is op de site, kun je ook lezen wat de verschillen zijn tussen de genoemde 'Direct Access' en andere vormen van beveiligde verbindingen.
Ja dat had ik ook gezien. De '!' had eigenlijk een ';-)' moeten zijn.
Dat 'Direct Access' gebruiken we al jaren (zeker 10). Ik kan het me commerciëel wel voorstellen dat jullie dit doen, maar technisch wordt ik af en toe zo moe van jullie.
Jullie roepen nu al zo lang "... in de volgende versie ... nieuwe dingen ...". Dat jullie daar zelf niet moe van worden.
Kijk, die gaan we v/h weekend eens fijn in een VM gooien. Ben benieuwd.
Obv dit bericht kan ik al wel wat dingen roepen:
- Direct Access: klinkt als SSH?
- Branche Cache: klinkt als proxy server?
- AppLocker: geen idee hoe dat zou moeten werken. Ik zou mijn medewerkers sws niet zomaar iets laten installeren, period. Gaat vast een hoop "hij doet-ut niet!" telefoontjes aan de helpdesk opleveren ;)
Verder ben ik vooral benieuwd naar zowel de prestaties als de staat van UAC. Beiden werden beloofd flink verbeterd te worden, en waren mijn persoonlijke no-go's voor Vista (incompatibele drivers en andere software was ook suf maar hoogstens een minor annoyance omdat zich dat wel vanzelf oplost).
Met applocker kun je de programatuur van een bepaalde software uitgever blocken.
Met AppLocker is het mogelijk om verschillende applicaties te blacklisten en whitelisten. Dit kan ook op gebied van softwareuitgevers.
Hmmm.... Wat gebeurt er als ik MS block om enge messenger en andere ongewenste software buiten de deur te houden die niet voor het werk noodzakelijk zijn?
Kleine aanvulling :-)
- Direct Access: klinkt als SSH?
- Branche Cache: klinkt als proxy server?[/quote]
- AppLocker: klinkt als AppArmor?
- uiterlijk: ziet er uit als KDE4?
100% INNOVA~1
Het enige waar ze duidelijk in profileren is IPv6 support.
Jammer alleen dat de onderliggende netwerken nog niet zo ver zijn voor een groot deel.
Indien ik het mij goed herinner, was IPv6 reeds volledig geïmplementeerd in Fedora Core 2 en Novell SUSE 9.3. Beide distributies worden inmiddels als zwaar antiek beschouwd. M.a.w. andere besturingssystemen dan Microsoft Windows, ondersteunen IPv6 reeds jaren en Microsoft schreeuwt wederom van de daken "INNOVA~1", maar holt er (zoals gewoonlijk) weer een beetje achteraan.
Indien ik het goed heb begrepen (maar ik (als domme hobbyist, 3 hoog op een flatje in een achterstandswijk) kan er natuurlijk helemaal naast zitten), valt of staat de ondersteuning van IPv6 bij iedere node die een packet passeert. Op het moment dat een packet een node bereikt die slechts IPv4 (en niet IPv6 compliant) is, wordt dit packet geconverteerd naar een "ouderwets" IPv4 pakket.
Ik betwijfel of ik zelf (nu 47 jaar) het nog mee mag maken dat "het net" volledig IPv6 compliant gaat worden. Dit gaat nog jaren duren. En hier kan Microsoft uiteraard verder ook niets aan doen ;-)
Ik zou mijn medewerkers sws niet zomaar iets laten installeren, period. Gaat vast een hoop "hij doet-ut niet!" telefoontjes aan de helpdesk opleveren ;)
Misschien nieuwe versies van Flash of Acrobat reader ? De nieuwste versies verschijnen daarvan verschijnnen meestal pas na een paar jaar of zo in images van grotere bedrijven maar je hebt de nieuwste versies ook niet vaak echt nodig.
Look and feel is wat aangepast. Wat dat betreft is het net een auto. Ze geven het een facelift en noemen het een nieuwe versie, maar je oude exemplaar doet het ook nog, dus waarom zou je een nieuwe kopen. Hooguit om de hogere onderhoudskosten van een oude versie te verlagen of als je aan vervanging toe bent.
De gefacelifte auto is net iets zuiniger en heeft iets meer toeters en bellen....
Tis dus net wat het je waard is.
Ik ga hem zeker wel proberen. Hoort erbij in deze branche...anders had ik vista wel overgeslagen.
Er zit nog steeds een oud chassis onder de auto: NTFS
We zouden toch met Vista al een nieuw filesysteem krijgen? Vergeleken met ZFS is NTFS hopeloos verouderd.
Ja, WinFS was nou net iets wat een echte feature zou zijn geweest voor Vista. Als het niet in Windows 7 komt, wanneer zijn ze dan wel van plan er iets mee te doen, 2015?
Er zijn ook nogal wat applicatie gesneuveld in windows 7.
Volgens mijn zijn voorboorbeeld windows moviemaker, windows phote gallery en windows mail die wel met windows Vista worden meegeleverd allemaal geschapt uit Windows 7.
Voor de thuisgebruiker is natuurlijk de belangrijkste feature de update van de windows calculator. ;-)
Ik heb hem al 2 weken op mijn laptop dell inspiron 6400 om hem eens te proberen.
Kan wel zeggen dat hij als een treintje loopt.
Hoefde geen drivers te instaleren, maar was toch benieuwd of er ook nieuwere drivers waren.
En ja op ati/amd stonden dus al window 7 drivers.
Gaat hem dus ook zeker kopen.
Een tevreden window gebruiker :D die dus ook afscheid gaat nemen van zijn xp die al bijna 8jaar naar tevredenheid draait op xp
Lees ik goed dat je Dell Inspiron al 8 jaar oud is en dat Windows 7 daar goed op draait? Zou er echt eens een snellere lichtere Windows versie zijn? Kan het bijna niet geloven....
Nee mijn inspiron is anderhalf jaar oud en daar stond gewoon xp op :D
Maar op mijn desktop computer draait xp al bijna 8 jaar naar tevredenheid :P
Ah, op die manier. Was bij mij ook, jarenlang was mijn XP machine trouw, maar nu is het moederbord net van de week overleden. R.I.P.
Overigens zit de HD alweer in een donor machine, en is mijn collectie weer compleet met 98se, XP, Vista, Red Hat en Ubuntu machines. Heb ooit ook een Mac gehad, maar vond die 1-knops muis zo irritant dat toen dat ding overleed ik nooit meer naar Mac gekeken heb. Nu heb ik het geld er niet meer voor over om het opnieuw te proberen.
Misschien beetje offtopic (maar heeft ook met Win7 te maken). Volgens de Engelse Wikipedia zou op 11 december 2008 al Internet Explorer 8 RC1 zijn vrijgegeven. Iemand al wat gezien?
Ontopic: Als het inderdaad de zelfde versie is als de gelekte versie is, dan ben ik wel benieuwd hoeveel mensen via de legale manier Windows 7 B1 gaan downloaden! Kennis van mij heeft hem al in huis en zegt dat Win7 echt sneller is dan Vista en vooral de libraries en (na enige gewenning) de nieuwe startbalk erg handig zijn! Ben benieuwd, maar kan helaas de Beta niet gebruiken. Heb maar 1 laptop, en er staan genoeg belangrijke zaken op om toch even te wachten totdat Windows 7 in de winkels ligt ;-)
Volgens de Engelse Wikipedia zou op 11 december 2008 al Internet Explorer 8 RC1 zijn vrijgegeven. Iemand al wat gezien?
Er is rond die tijd een partnerbuild vrijgegeven. Deze was alleen te downloaden voor MS partners en geslecteerde betatesters. Dat was NIET een RC1 versie van IE8. Die komt binnenkort.
Ik weet trouwens niet welke build versie van IE8 er in deze Windows 7 beta is opgenomen. Dat zou potentieel al wel de RC1 build versie kunnen zijn.
Morgen maar even kijken ?
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
