abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 22:44 | IT novinky

    Apple představil nový MacBook Pro s čipy M4, M4 Pro a M4 Max.

    Ladislav Hagara | Komentářů: 1
    včera 22:00 | Zajímavý software

    Na GOG.com běží Halloween Sale 2024. Při té příležitosti lze získat zdarma počítačovou hru Return of the Phantom.

    Ladislav Hagara | Komentářů: 0
    včera 20:22 | IT novinky

    Společnost OpenAI spustila internetový vyhledávač ChatGPT search.

    Ladislav Hagara | Komentářů: 0
    včera 14:33 | Pozvánky

    Konference OpenAlt 2024 proběhne již tento víkend 2. a 3. listopadu v prostorách FIT VUT v Brně. Začíná ale už v pátek na warm-up party ve Studentském klubu u Kachničky v 17:00. Pokud jste ještě areál FITu nenavštívili, k dispozici jsou pokyny k orientaci. Na programu je 54 přednášek a workshopů. Témata jsou od silně technických témat jako je třeba GCC nebo PostgreSQL po méně technické témata jako eGovernment, nebo třeba detailní analýzu … více »

    Ladislav Hagara | Komentářů: 2
    včera 13:23 | Nová verze

    Byla vydána nová verze 6.9 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 14.0.1. Tor client na verzi 0.4.8.13. Thunderbird na verzi 115.16.0.

    Ladislav Hagara | Komentářů: 1
    včera 12:33 | Komunita

    Vývojáři free a open source synchronizačního nástroje (a p2p náhrady Dropboxu) Syncthing oznámili, že z důvodu odporu ze strany Google Play ukončují podporu OS Android. Bohužel v rámci toho zmizí i vydání Syncthing na F-Droid, který má slabší uživatelskou základnu. Syncthing je na Androidu implementován formou wrapper aplikace, která spustí Syncthing démon, vyžádá potřebná oprávnění a zpřístupní webové rozhraní démona. Ve srovnání se

    … více »
    Harvie.CZ | Komentářů: 4
    včera 01:11 | Nová verze

    V červnu 2022 bylo oznámeno, že z K-9 Mailu se stane Thunderbird pro Android. Trvalo to poněkud déle, než vývojáři předpokládali, ale včera byl první stabilní Thunderbird pro Android 8.0 vydán.

    Ladislav Hagara | Komentářů: 0
    30.10. 21:33 | Komunita

    Projekt microDMG Racer na Kickstarteru nevyšel, tak se autor rozhodl uvolnit na ESP32 postavené autíčko i ovladač jako open source.

    Ladislav Hagara | Komentářů: 6
    30.10. 13:22 | Nová verze

    Byl vydán TrueNAS SCALE 24.10 „Electric Eel“. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    30.10. 13:11 | Nová verze

    Byla vydána nová verze 24.10.29 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nově s podporou AI (whisper.cpp) pro generování titulků. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 1
    Rozcestník
    Štítky: není přiřazen žádný štítek


    Vložit další komentář
    24.2.2011 11:50 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Možná jsem úplně mimo, IPv6 do detailu neznám a prakticky jsem to pouze testoval v tunelu, ale v čemu potřebuješ IPsec, pokud je IP protokolem IPv6? Není náhodou zabezpečení součástí toho protokolu?
    24.2.2011 12:04 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    IPsec je právě to zabezpečení, které je součástí protokolu IPv6. IPsec původně vznikl jako bezpečnostní rozšíření protokolu IPv6 a teprve později byl v upravené podobě implementován i pro IPv4.
    24.2.2011 12:06 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Pro přesnost: místo "součástí" by mělo být "povinně implementovaným rozšířením".
    24.2.2011 12:55 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    OK, podobně jsem to myslel, jen neznám detaily.
    24.2.2011 12:25 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Odkazovany clanek pouziva IPsec v esp/transport mode. Pokud se IPsec pouziva v esp/tunnel mode, jde v podstate o VPN. Takze neni pravda, ze by v IPv6 nebylo VPN, je tam a dokonce vestavene.
    24.2.2011 12:26 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    A naopak: transport mode lze používat i s IPv4.
    Petr Bravenec avatar 24.2.2011 14:00 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Odkazovaný článek používá IPsec v transport i tunnel modu a vysvětluje rozdíly. V tunnel modu se mimo obsah šifrují i hlavičky.

    Souhlasím s tím, že VPN v IPv6 existuje a je vestavěné. Ale myslím si, že pojem VPN s rozšířením IPv6 zmizí, ztratí význam. Je dnes například někdo, kdo by dával nějaká zvláštní jména tomu S v httpS?

    Článek především ukazuje na rozdíl v přístupu k jedné a téže věci na IPv4 a IPv6. V praxi bude tento rozdíl ještě větší:

    IPv4: Tak vy chcete propojit dvě pobočky? Tak to budeme muset nainstalovat VPN. Můžete si stáhnout OpenVPN, ale tenhle SuperIpVpnŠifrátor je lepší a klikavější a bezpečnější. A tady tenhle Šifrofáč dokonce funguje i přes nat a ve firewallu se nemusí nic nastavovat! Nojo, hádá se nám to s adresama ISP, tak něco přečíslujeme. Jono, VPN, to je složitá technilogia. Pošlu vám fakturu...

    IPv6: Pro přenosy mezi pobočkami zapneme šifrování, ok?

    U zákazníků narážím v souvislosti s VPN na velmi neuvěřitelné věci. Nad vynalézavostí mých předchůdců-administrátorů mi zůstává rozum stát. VPN je málokdy nainstalovaná kvůli bezpečnosti - většinou se tak obchází nutnost NATu v IPv4. Pokud už VPN slouží k zabezpečení, propojuje naprosto nesmyslně podnikovou síť (SElinux, milióny řádků v logu o útocích, portnocking - zabezpečeno mimózním paranoikem) s domácím počítačem syna agresivně asertivního firemního účetního s pochybným zabezpečením a se zapnutým forwardingem, aby mohl tatínek v sobotu večer provádět zabezpečené účetní operace. Heh :-/

    IPsec ve spojení s IPv6 přináší takové zjednodušení, že o VPN fakt nemá cenu hovořit.
    Petr Bravenec - Hobrasoft s.r.o.
    24.2.2011 14:41 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    VPN je v podstate synonymum pro sifrovany tunel (a duraz na 'tunel' je stejny jako na 'sifrovany'), nelze to zjednodusit jen na 'sfrovane spojeni'. A tunely v dohledne budocnosti nejspis stale budou obcas potreba, at uz sifrovene (treba IPsec tunnel mode) nebo nesifrovane (GRE).

    Takze tu mame tri ruzne pojmy pro tri ruzne moznosti pouzivane pri ruznych prilezitostech - sifrovane spojeni (IPsec transport), sifrovany tunel (IPsec tunnel) a (nesifrovany) tunel.

    Takze jde v podsate o tom, zda se v situaci vedouci k nasazeni sifrovaneho tunelu bude jeden admin ptat druheho:

    "Pro prenosy mezi pobockama nastavime sifrovany tunel?" nebo "Pro prenosy mezi pobockama nastavime VPN?".

    Netusim, proc by mel pojem "sifrovany tunel" nutne zvitezit nad pojmem "VPN" (ackoliv sam osobne preferuju ten prvni).

    Petr Bravenec avatar 24.2.2011 15:24 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

    "Pro prenosy mezi pobockama nastavime sifrovany tunel?" nebo "Pro prenosy mezi pobockama nastavime VPN?".

    "Spojíme ty sítě pomocí VPN?" (ipv4 - kombinace šifrování, tunelování, routování a natu, složité tak, že to potřebuje vlastní jméno)

    "Zapneme mezi těmi sítěmi šifrování?" (ipv6 - jednoduché tak, že lze označit obecným pojmem "šifrování")

    V IPsec znamená režim "tunnel" jen to, že se zašifrují i hlavičky. Česky: "šifrováním jsme skryli i adresy".

    Ke svému ISP jsem připojený přes PPTP, to je taky šifrovaný tunel. Je mi ukradené tomu "nějak říkat", pro mě to je "připojení".

    Až bude "šifrování" v IP znamenat "IPsec zapnuto", nebude potřeba tomu říkat jménem.

    Dneska VPN zahrnuje velkou skupinu různých postupů a produktů, které se většinou ani nepoužívají kvůli zabezpečení.

    Petr Bravenec - Hobrasoft s.r.o.
    24.2.2011 19:28 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    V IPsec znamená režim "tunnel" jen to, že se zašifrují i hlavičky.

    Pokud vim, tak i v IPsec znamena tunnel rezim vicemene to same, jako v jakykoliv jinem tunelovem protokolu - tedy vytvoreni virtualni linky pomoci zapouzdreni celych paketu. Oproti prostemu sifrovani je mozne skrz takovou linku routovat.
    Petr Bravenec avatar 24.2.2011 20:02 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    OK. Přečtěte si ten článek ještě jednou. Třeba i pozpátku, jestli vám to pomůže.

    Proč vytvářet nějakou speciální "linku" kvůli zabezpečení, když cesta už existuje a stačí jen zapnout šifrování?

    Speciální linku potřebujete vytvářet u IPv4, kde "vpn" znamená soubor různých technologií zabalených do jednoho balíku (šifrování, routování a nat) a prodávaný pod konkrétním obchodním jménem.

    V IPv6 cesta existuje a není třeba nic dalšího. Jo, krom případu, kdy potřebuji skrýt své přenosy, potom jen zapnu šifrování. Přičemž mi dává protokol na výběr ze dvou možností - buď šifrovat pouze data, nebo i hlavičky.

    V IPv6 skrz tu linku neroutujete. Ta linka existuje nezávisle na IPsec. Pomocí IPsec pouze říkáte, jakým způsobem se data přenášejí. Platí to i v případě režimu "tunnel".

    I z jiných diskusí mi připadá, že jste příliš hluboko v zajetí toho, co znáte. Proč se držíte slovíček a vyjadřujete se k věcem, kterým zcela zjevně nerozumíte, nebo vám je maximálně někdo sdělil zpoza katedry?

    Rozchoďte si IPv6 a zkuste nastavit i IPsec. Zkuste si IPsec mezi dvěma konkrétními počítači. Vyzkoušejte si oba režimy. Zapojte takhle třeba celou síť nebo dvě. Pak se vám rozsvítí a řeknete si: "Routovat přes tunel v ipv6? Bože, to je bejkárna! Jak mě mohla taková volovina vůbec napadnout!?"

    V IPv4 a IPv6 jsou velké, opravdu velké rozdíly.

    Petr Bravenec - Hobrasoft s.r.o.
    24.2.2011 20:37 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Proč vytvářet nějakou speciální "linku" kvůli zabezpečení, když cesta už existuje a stačí jen zapnout šifrování?

    Ale ta linka (tunel) se nevytvari kvuli zabezpeceni! Tunely neslouzi primarne kvuli zabezpeceni, ale kvuli uplne jinym vecem (primarne ruznym formam uprav routovani). Proto se take casto pouzivaji i nesifrovane, nezabezpecene tunely (treba GRE).

    Samozrejme, pokud potrebuju pouze zajistit sifrovane spojeni, pak nepotrebuju zadnou tunelovaci technologii, ale casto clovek potrebuje neco jineho.

    Napriklad:

    - propojeni oddelenych siti pouzivajicich ULA adresy (kvuli multihomingu).

    - propojeni oddelenych siti na L2 urovni.

    - pouzivan adres z jine site, nez pres kterou jsem fyzicky pripojen (napr, kvuli multihomingu nebo mobilite nebo proste proto, ze potrebuju pripojit celou sit a fyzicky ISP me poskytl jen /128).

    ...

    Me pro zmenu prijde, ze nemate predstavu, k cemu vsemu se pouzivaji (at uz sifrovane nebo nesifrovane) tunely resp. VPN. Zdaleka ne jen kvuli bezpecnosti.

    24.2.2011 20:51 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Nebo jeden priklad za vsechny - mam dve oddelene site pouzivajici verejne adresy a mam je propojene vlastni optickou linkou, ale kazde misto ma take samostatne pripojeni do Internetu. Chci mit failover pres internet pro pripad vypadku te opticke linky. Opticke lince duveruju, tak pres ni sifrovat nepotrebuju (a navic pri jeji rychlosti by se to ani nestihalo), ale failover linka pres internet musi byt sifrovana (je take pomalejsi). Pri pouziti sifrovaneho tunelu (VPN) trivialita - na tunelu a opticke lince pustim OSPF a jenom zmenou routovaci tabulky (coz dela OSPF demon) zajistim, zda provoz do stejneho cile bude sifrovan pres tunel nebo pujde nesifrovane pres optickou linku.

    Obecne IPsec tunnel mode tak, jak je navrzen, umi delat bezne tunely (VPN). Mozna jedna z jeho mnoha implementaci, ta, kterou jsi zkousel, to neumi, ale to je pak spis problem te implementace.
    Petr Bravenec avatar 24.2.2011 21:30 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    I v tomto případě je šifrování jen zabezpečením existující cesty a speciální "linku" tvořenou pomocí VPN nepotřebuje. Router budu mít nastavený pořád stejně, pakety budou putovat pořád stejně, jenom se na část trasy zapne šifrování.

    Nemáte pocit, že oba mluvíme o něčem jiném? Já jsem postavil proti sobě šifrované propojení dvou sítí protokolem IPv6 a obvyklý komplikovaný postup známý z IPv4 (nat, tunel, routing, šifrování). Slova jsem volil záměrně provokativní, abych vyzdvihnul rozdíl.

    Říkám: "Pro zabezpečení přenosů VPN netřeba" a vy na to: "Ale tunel se dá použít i na úplně jiné věci".

    To je jakobych říkal: "Přes most můžete přejít pěšky a klidně i bos" a vy na to: "Ale tunelem metra se můžete projet taky!"

    Obojí je pravda, ale nijak to spolu nesouvisí.
    Petr Bravenec - Hobrasoft s.r.o.
    24.2.2011 21:38 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Říkám: "Pro zabezpečení přenosů VPN netřeba" a vy na to: "Ale tunel se dá použít i na úplně jiné věci".

    Ten clanek (a predchozi prispevky) rika ale neco jineho - "v IPv6 VPN netreba" a demonstuje to tim, ze VPN neni treba pro zabezpeceni prenosu, ja na to "v IPv6 sice neni VPN treba pro zabezpeceni prenosu, ale VPN se pouziva i na spoustu jinych veci, proto je v IPv6 VPN potreba taky".

    Neboli nedorozumeni mohlo vznikout pouzivanim prilis bombastickych tvrzeni.
    Petr Bravenec avatar 24.2.2011 21:57 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Ahááááá, vy jste si nepřečetl ani nadpis!

    Ten článek se jmenuje "IPsec na IPv6" a věnuje se čistě zabezpečení přenosu, ničemu jinému. Kdyby se jmenoval "Význam tunelovacích technologií v praxi síťového administrátora" a já bych v něm rozebíral zbytečnost tunelů, teprve pak by šlo o nedorozumění.
    Petr Bravenec - Hobrasoft s.r.o.
    24.2.2011 22:33 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Clanek (a nadpis) jsem si precetl, ale me i tve reakce v tomto threadu dalece presahuji pouze oblast zabezpeceni prenosu. Napr. veta "Ale myslím si, že pojem VPN s rozšířením IPv6 zmizí, ztratí význam." lze tezko chapat pouze v kontextu zabezpeceni prenosu.

    Jinymi slovy, tve reakce vypadaji, jako by vychazely z implicitniho predpokladu, ze lide pouzivaji VPN hlavne kvuli tomu, aby obchazeli problemy spojene s IPv4 a privatnima adresama a vzajemnou neviditelnosti. Ja tvrdim, ze v znacne casti pripadu tomu tak neni.
    Petr Bravenec avatar 24.2.2011 22:58 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Několikrát jsem tady v diskusi řekl, že většina VPN, na které v praxi narážím, neslouží k zabezpečení, případně k němu nijak významně nepřispívají.

    A ano - většina VPN, na které narážím, je nainstalovaná právě k tomu, aby se obcházely problémy s NAT v IPv4.

    Může to být dané okruhem mých zákazníků.

    S IPv6 by většina těchto VPN nevznikla a s přechodem na IPv6 jejich existence ztratí smysl. Pro ty "administrátory", kteří tyto VPN uváděli v život, ztratí tím pádem svůj význam i VPN. Přestanou se těmito VPN zabývat, začne to pro ně být prázdné slovo. Na jednoho člověka schopného pochopit a nastavit skutečný tunel bude připadat dvacet dalších, pro které bude tunelem šifrování hlaviček v IPsec, případně si nepředstaví vůbec nic. Slovo VPN a tunel z jejich slovníku zmizí, tak jak přestanou tuto technologii používat.

    Abych nebyl nařčen, že "všechny tunely přece neslouží pro obcházení natu", podotýkám, že potkávám i tunely a VPN, které slouží svému účelu dobře a budou sloužit i nadále.

    Petr Bravenec - Hobrasoft s.r.o.
    25.2.2011 00:33 sigma
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Ony ty tunely "na obcházení NATu" nejsou jen kvůli tomu NATu. Není výjimkou, že pro notebook někde dostanete veřejnou IPv4, ale příchozí spojení jsou blokována, a pro odchozí jdou jen porty 80 a 443. Proto často buzzword "SSL VPN, connect from any network". A tohle se s IPv6 nikterak nezmění. Kde mají administrátoři důvod dělat takovéto firewallové obstrukce, tam IPv6 nepomůže. Kde není fw až takto restriktivní, bývají obvykle blokovány SMTP porty, a to IPsec fakt neřeší. SSL VPN ano.

    Když máme na IPv6 ten IPsec povinně podporovaný, není pak zbytečné i HTTPS? Ono bude v praxi velký rozdíl v tom, co říká o podpoře různých IPv6 features standard, a co se bude v reálných sítích často blokovat a zakazovat, a jaký společný základ, na který se lze jakž-takž spolehnout, z toho vznikne. Tohle bude podle mě i zabiják pro větší využitelnost mobility extensions.

    Pro člověka cestujícího s notebookem je u VPN podstatné, že se do firemní sítě bezpečně připojí všude, kde je "internet" -- rozuměj tam, kde jde otevřít facebook přes HTTP(s).
    24.2.2011 21:42 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    I v tomto případě je šifrování jen zabezpečením existující cesty a speciální "linku" tvořenou pomocí VPN nepotřebuje
    Tu virtualni linku potrebuju uz jen kvuli tomu, abych na ni mohl pusit OSPF. I kdyz je pravda, ze v tomto pripade by asi stacilo mit OSPF jen na opticke linke a zbytek nechat na defaultni route, cistci reseni by asi ale bylo mit OSPF na obou.
    Petr Bravenec avatar 24.2.2011 21:49 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Proč vytvářet nějakou speciální "linku" kvůli zabezpečení, když cesta už existuje a stačí jen zapnout šifrování?

    Ale ta linka (tunel) se nevytvari kvuli zabezpeceni!

    Ta linka se především vůbec nevytváří. Ta linka už existuje.

    Petr Bravenec - Hobrasoft s.r.o.
    24.2.2011 22:41 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Ta linka se především vůbec nevytváří. Ta linka už existuje.

    linka (ve smyslu ptp spoj tvarici se vicemene jako jeden hop, fungujici vicemene na linkove urovni, transparentne bez ohledu na zdrojove a cilove adresy) neexistuje, existuje akorat cesta vedouci skrz nekolik (obvykle cizich) routeru.
    24.2.2011 16:14 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    V tunnel modu (pokud je to tak nastavené) se dá přenášet i jiný protokol než IPv6. To je pro postupný přechod z IPv4 dost důležitá věc.
    24.2.2011 21:07 Kvakor
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    V Linuxu jsou dokonce ošetřeny obě možnosti tím, že se dá vybrat mezi zaříením TUN a TAP. Zatímco to první se chová jako klasický tunel na IP vrstvě (tj. jde skrz něj routovat), TAP se chová jako bridge, takže vzálený stroj jen na tom stejně, jako kdyby byl zapojen do místního switche. V ideálním světě by stačila ta první možnost, ale bohužel je tu třeba i ta druhá, protože některé trhlé protokoly (např. sdílení ve Windows) fungují jen na lokálnáí síti.
    24.2.2011 22:19 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    TUN a TAP zarizeni ve skutecnosti s tunelovanim a VPN nemusi dvakrat souviset - to jsou akorat rozhrani urcena pro predavani packetu do userspace. Samozrejme mnohe tunelovaci nastroje jako OpenVPN jsou implementovane v userspace a tak tato rozhrani vyuzivaji, ale jine (treba jiz zminene GRE) jsou implementovane prevazne v kernelu a nic takoveho nepotrebuji.
    24.2.2011 12:30 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Odkazovaný článek používá PSK, to má smysl v podstatě jen tam, kde není jiného zbytí - např. když protistrana nic jiného neumí. Je-li na obou stranách Racoon, upřednostnil bych certifikáty.
    Petr Bravenec avatar 24.2.2011 13:18 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Není to v některých případech trochu overkill? Mám-li takto propojené dvě pevné sítě, je starost o certifikáty jaksi navíc...
    Petr Bravenec - Hobrasoft s.r.o.
    24.2.2011 14:43 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    PSK je pořád shared secret, tj. tajná informace sdílená na obou stranách. Což není šťastné ani z bezpečnostního ani z praktického hlediska. Při použití certifikátů má každý uzel svůj pár klíčů a ten může používat pro komunikaci se všemi ostatními.
    24.2.2011 16:30 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Při použití certifikátů má každý uzel svůj pár klíčů a ten může používat pro komunikaci se všemi ostatními.
    "Všichni ostatní" jsou v tomto případě jeden uzel - brána druhé LAN. Kompromitace jednoho uzlu tedy vždy znamená odhalení veškeré šifrované komunikace. Jaký je tedy v tomto případě praktický a bezpečnostní rozdíl mezi certifikáty a PSK?
    Josef Kufner avatar 24.2.2011 16:46 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Že nic neodhalíš. Pokud je použito asymetrické šifrování, tak ti je klíč k serveru na nic, protože si nepřečteš už zašifrované pakety od ostatních. Můžeš se vydávat za ten kompromitovaný uzel, ale to je tak všechno.
    Hello world ! Segmentation fault (core dumped)
    Petr Bravenec avatar 24.2.2011 17:22 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Nepletu-li se, IKE2 server domlouvá pro každé spojení nové klíče, navíc v každém směru různé.

    Takže stejně jako s certifikáty, ani s psk nic neodhalím. Můžu se vydávat za ten kompromitovaný uzel, ale to je tak všechno.

    Heslo není špatně. Privátní klíč bez hesla a volně uložený na disku je totéž, jako heslo zapsané v souboru. Z hlediska bezpečnosti to vyjde na stejno a nastavení pro pár šifrovaných kanálů je s heslem neporovnatelně jednodušší.
    Petr Bravenec - Hobrasoft s.r.o.
    Josef Kufner avatar 24.2.2011 23:20 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    To že se domlouvají klíče je úplně jedno, pokud zachytíš domluvu. U sdíleného hesla máš na obou stranách totéž, takže můžeš dopočítat klíče úplně stejně jako to dělá server. Pokud máš jen půlku klíče, tak máš smůlu (nebo je to alespoň o poznání těžší).
    Hello world ! Segmentation fault (core dumped)
    Petr Bravenec avatar 24.2.2011 23:41 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Domluvu nezachytím. Při navazování spojení mezi dvěma IKE servery se v prvním kroku vytváří šifrovaný kanál pomocí jednorázových asymetrických klíčů, teprve potom se ověřuje totožnost (heslem či certifikátem). Z tohoto pohledu je bezpečnost hesla i certifikátu stejná.

    Výhodu certifikátů bych viděl spíš jinde: s přibývajícím počtem připojených klientů stoupají nároky na správu certifikátů mnohem pomaleji, než u hesel. U pěti statických linek je správa hesel snadná. U patnácti neposedných klientů už mohou být hesla administrátorovou noční můrou a certifikáty vysvobozením.
    Petr Bravenec - Hobrasoft s.r.o.
    Josef Kufner avatar 25.2.2011 23:38 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Kdybych si z diskrétní matematiky pamatoval, jak se ty jednorázové klíče počítají, tak bych ti teď asi vysvětlil, že se sdíleným heslem to bude mnohem snáze prolomitelné, protože máš v těch rovnicích o jednu neznámou méně.
    Hello world ! Segmentation fault (core dumped)
    26.2.2011 17:56 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Mnohem snáze je stále příliš obtížné. Obvykle se používá něco na způsob Diffie-Helmanna. Dokonce existuje rozšíření do TLS, kde klient zná otevřené heslo a server zná pouze jeho „otisk“ a přesto se dokáží obě strany vzájemně autentizovat.
    24.2.2011 13:24 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    Prosil bych v odkazovanem clanku nahradit MD5 a 3DES necim na urovni roku 2011.
    Petr Bravenec avatar 24.2.2011 13:56 Petr Bravenec | skóre: 43 | blog: Bravenec
    Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete
    :-)
    Petr Bravenec - Hobrasoft s.r.o.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.