IPSec za NAT [trosicku delsi ;o)]
Ing. Pavel Janousek
Janousek na FoNet.Cz
Čtvrtek Březen 18 13:50:39 CET 2004
> -----Original Message-----
> From: Tomas Hlavacek [mailto:tomas.hlavacek na elfove.cz]
> Autentication Header a Encapsulated Security Payload. AH se
> hodi jen na
> autentikaci obsahu datagramu - spocitani kontrolniho souctu a
Mozna jsem nepochopil presne Vase vyjadreni, ale ja mel za to,
ze AH je zejmena proti utoku ManInTheMiddle, protoze prave ten AH
sifruje i hlavicky puvodniho packetu - ESP je ciste pro sifrovani
datoveho obsahu => pokud utocnik uskutecni pokus o podstrceni paketu,
ktery se bude vizualne tvarit, ze je od zdroje (a treba mu bude sedet i
ESP cast), uz to nikdo nepozna...
Ja si myslim, ze prave komercni vyhoda IPsecu (AH + ESP) je v
tom, ze protistrany maji rozumne komercne dostupnou (ano kvantova
kryptografie na desitky km uz je take komercne k dispozici - dostupnost
je trochu jina - nejen cenova) jistotu, ze komunikuji pouze spolu bez
tretiho, coz pri datove sifre v podobe ESP maji zhruba na urovni
klasickeho SSL...
Pokud se mylim, dekuji za osvetleni.
-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------
Další informace o konferenci Linux