Problematika VPN

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Úterý Červenec 16 10:22:13 CEST 2002


Jan Kasprzak wrote:
> 	Zatimco u CIPE vytvorim _jeden_ tunel, a co do neho staticky
> naroutuju, to jde zasifrovane a hotovo. Kazdy tunel funguje jako zvlastni
> interface, vypada to jasne a logicky.

	Samozrejme, ale tech X tunelu tam je IMHO prave z duvodu, ze soucasti 
IPsecu je AH protokol, kterym se cela jedinecna relace 
src_ip:src_port<->dst_ip:dst_port sifruje vcetne teto informace - nejake 
  NATy po ceste samozrejme nevadi, ale nesmi byt tesne pred pred 
koncema, protoze pak nesedi samozrejme tato relace a packet je zahozen.

	Ostatni 'proprietalni' zpusoby (ja jsem na CIPE coby VPN prostredku 
zacinal, svou praci dela dobre, nic proti nemu...) tuto funkcionalitu 
nemaji (v dobe, kdy jsem se o to zajimal nemely), tudiz je to jednodussi 
na konfiguraci, na druhou stranu, uz umi CIPE 'road-warior' tunel? 
Cloveka s notebookem na cestach byste potesil...:-)

> 	Ja naopak tvrdim, ze pokud mate na obou stranach Linux, tak neni
> duvod pouzivat IPsec protoze je to "too big hammer".

	No ja bych to tak nevidel - viz kryptologicky rozbor sifrovani CIPE, v 
jehoz puvodni verzi byla dost fatalni chyba...:-(

Pavel Janík wrote:
 >    From: "Ing. Pavel PaJaSoft Janousek" <janousek na fonet.cz>
 >    > 	AH protokol apod., takze radsi honi CIPE, vtun apod., protoze se
 >    > 	jim to zda jednodussi a hlavne, chodi to pres maskaradu - zrejme
 >    > 	nikoho moc (Yenya je IMHO dost velka vyjimka, kdyz to kolem sebe
 >    > 	vidim)
 >
 > tak potom jsem také výjimka. Použití CIPE i IPSEC má své výhody
 > i nevýhody. Já osobně pro jednodušší věci preferuji také CIPE.

	Jednodussi veci, kdyz uz, tak bych hnal pres PPTP (samozrejme, ze jedine 
verze 2+), jednak je ve svete MS Windows standard, jednak muzete 
sifrovat i na L2 vrstve. V Linuxu je podpora slusna. Cokoli jineho se 
muze zahy ukazat jako kratkozrake a dale nepouzitelne... - jak budete 
CIPE tlacit pres NATy (bezna situace v dnesnich firmach)?

Takze obecne bych si dovolil male srovnani (ze znalosti, ktere jsem 
nacerpal i v drivejsi dobe, overeni, pripadne doplneni, necht prosim 
udela nekdo, kdo to pouziva k aktualni verzi a v aktualni funkcionalite) 
- myslim si, ze to nekomu pro rozhodovani urcite pomuze:

IPsec:
+ road-warior konfigurace
+ sifrovani vcetne src.ip:src.port<->dst.ip:dst.port
+ RFC standard
+ prumyslovy standard
+ HW implementace
+ robustnost
+ navaznost na jine systemy a v principu autentizacne i sifracne 
nezavisly (je mozno si vybrat z nekolika zpusobu autentizaci, z nekolika 
ruznych sifer)
+ implementace ve vsech bezne pouzitych OS
+ nativni soucast MS Windows 2000 a novejsich

- slozitejsi konfigurace - dan za komplexnost
- neprochazi jednoduse NATem


CIPE, vtun atd.:
+ jednoduche zprovozneni
+ obvykle jest mozna konfigurace v siti s NATem

- nemoznost road-warior konfigurace
- vyjma Linuxu a obcas MS Windows (pouze nektere verze) nepodporovano v 
jinych OS (? - FreeBSD)
- obcas problematicke (slabe/napadnutelne) sifrovani
- neexistence HW implementaci


PPTP:
+ moznost sifrovani i na L2 vrstve
+ prumyslovy standard v MS Windows svete
+ existuji 'aplikacni' proxy => vhodny kandidat v NAT sitich
+ nativni soucast MS Windows NT a novejsi

- obcas problematicka implementace v jinem OS
- chybejici podpora komplexni funcionality v jinych OS
- staveno jako aplikacni vrstva => HW podpora neexistuje a zrejme neni 
prilis mozna (realne)


	Ocekavam Vase podnety a pripominky.

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------



Další informace o konferenci Linux