Problematika VPN
David Rohleder
davro na ics.muni.cz
Středa Červenec 17 19:01:39 CEST 2002
janousek na fonet.cz (Ing. Pavel PaJaSoft Janousek) writes:
> Jan Kasprzak wrote:
> > Zatimco u CIPE vytvorim _jeden_ tunel, a co do neho staticky
> > naroutuju, to jde zasifrovane a hotovo. Kazdy tunel funguje jako zvlastni
> > interface, vypada to jasne a logicky.
>
> Samozrejme, ale tech X tunelu tam je IMHO prave z duvodu, ze
> soucasti IPsecu je AH protokol, kterym se cela jedinecna relace
> src_ip:src_port<->dst_ip:dst_port sifruje vcetne teto informace -
> nejake NATy po ceste samozrejme nevadi, ale nesmi byt tesne pred pred
> koncema, protoze pak nesedi samozrejme tato relace a packet je zahozen.
>
AH je Authentication Header a ten nic nesifruje. Myslel jsi ESP.
Navic samostatne pouziti AH je deprecated, protoze je take soucasti
ESP a kombinace samostatny AH a samostatny ESP neni dost bezpecna.
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux