IPSec v kernelu 2.6 - II (diskuse)

Co koliv je založeno na PPP, z toho se mi ježí vlasy. Nešlo by to udělat pomocí standardního ESP s vypnutým AH ?. Kdysi jsem stavěl pár IPSECů (síť-síť, jeden přez NAT) na FREESWANU (výborná implementace, s přewhledným konfigurákem, nevíc je to tam zaŕízeno že pro všechny sítě se napíše jeden a ten se všude rozkopíruje, škoda, že se už nevyvíjí) a tam se hovořilo o jakési Oportunistické Enkryptaci, právě pro tyhle potřeby, a to bylo určitě bez oblud typu (upravené PPP)

2.7.2004 09:16 Zajda
Rozbalit Rozbalit vše Re: Nešlo by to bez té obludy ?

FreeSwan se nevyvíjí, ale pokračuje projekt OpenSwan což je pokračování FreeSwanu s NATem a dalšima dobrejma věcma.

6.7.2004 22:03 Michal Kubeček
Rozbalit Rozbalit vše NAT Traversal nebrat

Nesdílím vaše nadšení pro IPsec NAT Traversal. Když se podíváte na to, jak funguje IPsec a jak funguje NAT Traversal, zjistíte, že NAT Traversal jde proti samé podstatě IPsec. To už se na IPsec můžete rovnou vykašlat a použít řešení typu CIPE.

2.7.2004 19:20 asdf
Rozbalit Rozbalit vše Re: Nešlo by to bez té obludy ?

no to l2tp s ppp je prave vypecenost, bez ktere se neobejdete pokud to ma fungovat i proti widlakum.

6.7.2004 22:10 Michal Kubeček
Rozbalit Rozbalit vše Re: Nešlo by to bez té obludy ?

Opportunistic Encryption je způsob, jak identifikovat protistranu bez nutnosti mít předem certifikát protistrany nebo certifikát autority, kterou je podepsán. Zjednodušeně řečeno funguje tak, že když chcete s někým komunikovat, získáte jeho veřejný klíč z DNS, kde se pro tyto účely zavede speciální typ záznamu (KEY). To ovšem vyžaduje, aby i komunikace s nameservery byla bezpečná (rozšíření DNSSEC).

Zatím ale moc serverů DNSSEC neimplementuje a KEY záznamy jsou také spíše výjimkou. Právě frustrace z nezájmu veřejnosti o OE byla jedním z hlavních důvodů ukončení projektu FreeS/WAN. Nástupce OpenSWAN kašle na ideovou čistotu a nastoupil linii tvrdého pragmatismu (NAT Traversal, X.509, ...).