Problematika VPN
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Úterý Červenec 16 10:22:13 CEST 2002
Jan Kasprzak wrote:
> Zatimco u CIPE vytvorim _jeden_ tunel, a co do neho staticky
> naroutuju, to jde zasifrovane a hotovo. Kazdy tunel funguje jako zvlastni
> interface, vypada to jasne a logicky.
Samozrejme, ale tech X tunelu tam je IMHO prave z duvodu, ze soucasti
IPsecu je AH protokol, kterym se cela jedinecna relace
src_ip:src_port<->dst_ip:dst_port sifruje vcetne teto informace - nejake
NATy po ceste samozrejme nevadi, ale nesmi byt tesne pred pred
koncema, protoze pak nesedi samozrejme tato relace a packet je zahozen.
Ostatni 'proprietalni' zpusoby (ja jsem na CIPE coby VPN prostredku
zacinal, svou praci dela dobre, nic proti nemu...) tuto funkcionalitu
nemaji (v dobe, kdy jsem se o to zajimal nemely), tudiz je to jednodussi
na konfiguraci, na druhou stranu, uz umi CIPE 'road-warior' tunel?
Cloveka s notebookem na cestach byste potesil...:-)
> Ja naopak tvrdim, ze pokud mate na obou stranach Linux, tak neni
> duvod pouzivat IPsec protoze je to "too big hammer".
No ja bych to tak nevidel - viz kryptologicky rozbor sifrovani CIPE, v
jehoz puvodni verzi byla dost fatalni chyba...:-(
Pavel Janík wrote:
> From: "Ing. Pavel PaJaSoft Janousek" <janousek na fonet.cz>
> > AH protokol apod., takze radsi honi CIPE, vtun apod., protoze se
> > jim to zda jednodussi a hlavne, chodi to pres maskaradu - zrejme
> > nikoho moc (Yenya je IMHO dost velka vyjimka, kdyz to kolem sebe
> > vidim)
>
> tak potom jsem také výjimka. Použití CIPE i IPSEC má své výhody
> i nevýhody. Já osobně pro jednodušší věci preferuji také CIPE.
Jednodussi veci, kdyz uz, tak bych hnal pres PPTP (samozrejme, ze jedine
verze 2+), jednak je ve svete MS Windows standard, jednak muzete
sifrovat i na L2 vrstve. V Linuxu je podpora slusna. Cokoli jineho se
muze zahy ukazat jako kratkozrake a dale nepouzitelne... - jak budete
CIPE tlacit pres NATy (bezna situace v dnesnich firmach)?
Takze obecne bych si dovolil male srovnani (ze znalosti, ktere jsem
nacerpal i v drivejsi dobe, overeni, pripadne doplneni, necht prosim
udela nekdo, kdo to pouziva k aktualni verzi a v aktualni funkcionalite)
- myslim si, ze to nekomu pro rozhodovani urcite pomuze:
IPsec:
+ road-warior konfigurace
+ sifrovani vcetne src.ip:src.port<->dst.ip:dst.port
+ RFC standard
+ prumyslovy standard
+ HW implementace
+ robustnost
+ navaznost na jine systemy a v principu autentizacne i sifracne
nezavisly (je mozno si vybrat z nekolika zpusobu autentizaci, z nekolika
ruznych sifer)
+ implementace ve vsech bezne pouzitych OS
+ nativni soucast MS Windows 2000 a novejsich
- slozitejsi konfigurace - dan za komplexnost
- neprochazi jednoduse NATem
CIPE, vtun atd.:
+ jednoduche zprovozneni
+ obvykle jest mozna konfigurace v siti s NATem
- nemoznost road-warior konfigurace
- vyjma Linuxu a obcas MS Windows (pouze nektere verze) nepodporovano v
jinych OS (? - FreeBSD)
- obcas problematicke (slabe/napadnutelne) sifrovani
- neexistence HW implementaci
PPTP:
+ moznost sifrovani i na L2 vrstve
+ prumyslovy standard v MS Windows svete
+ existuji 'aplikacni' proxy => vhodny kandidat v NAT sitich
+ nativni soucast MS Windows NT a novejsi
- obcas problematicka implementace v jinem OS
- chybejici podpora komplexni funcionality v jinych OS
- staveno jako aplikacni vrstva => HW podpora neexistuje a zrejme neni
prilis mozna (realne)
Ocekavam Vase podnety a pripominky.
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux