IPSec za NAT [trosicku delsi ;o)]

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Pátek Březen 19 10:13:24 CET 2004


On Thu, 18 Mar 2004, Pavel Janoušek wrote:

> 	Dobra tedy jinak, u SSL mam moznost si dohodnout komunikaci a
> byt od zacatku duveryhodny? U IPsecu se domnivam, ze tu moznost mam...

Co myslite tim "od zacatku duveryhodny"? Pokud se tim mysli, ze uz prvni
paket, co jde po siti, je sifrovany a podepsany, pak to opravdu u SSL
dosahnout nelze (pomineme-li to TCP pod tim, tak aspon musi probehnout
zakladni handshake, aby se domluvili, ze budou pouzivat uz predem
domluveny klic), zatimco u IPSecu ano...ovsem znamena to rucni distribuci
klicu and "it just doesn't scale up". Pokud vezmete IPSec + ISAKMP nebo
jakykoli jiny protokol zajistujici vymenu klicu za chodu, tak to vyjde
v principu nastejno.

Tedy jiny problem take je, jestli je ta duveryhodnost protazena az do
aplikacni urovne nebo nejlepe az k uzivateli. U IPSecu, je-li pouzivan
v nejakem tunelovacim modu (byt by treba tunel koncil na stejnem pocitaci,
kde je umisten komunikujici program), nemaji vyssi vrstvy moc moznost
posoudit, zda data po siti chodi skutecne zabezpecene, coz je u SSL/TLS
zadarmo, protoze program si jeho pouziti musi explicitne vyzadat a navic
je tam prirozene svazana puvodni abstraktni identifikace cile (napr. DNS
jmeno) se skutecnou identitou toho, s kym je spojeni navazano.

Na druhou stranu jsou v typicke implementaci IPSecu pouzite sifrovaci
klice pred vlastnimi programy dobre ukryte, coz take neni od veci (tedy
SSL/TLS by take slo v principu naprogramovat tak, aby program nemel primy
pristup ke klicum).

> PS: Ano spravne se domnivate, ze narazim napr. na problem, ktery tusim
> loni "nasli" v ICZ, nejprve byl zahozen pod stul a pak se horentne
> OpenSSL a vsechno na nem postavene zaplatovalo... - ja osobne se
> nedomnivam, ze to byl ciste implementacni ("chybny") problem...

Jestli myslite tu variaci Bleichenbacherova utoku (a nechapu, proc davate 
slovo nasli do zavorky), pak mate pravdu, ze chyba je castecne na strane
protokolu, ktery pripousti pouziti RSA zpusobem, o kterem je jiz delsi
dobu znamo, ze je velmi nebezpecny (tedy umoznuje server pouzit jako 
"desifrovaci orakulum" testujici hodnotu maleho mnozstvi bitu vysledku).
Je docela dobre mozne, ze ISAKMP ma podobny problem (a ze je ho take treba
spravne implementacne osetrit), jediny rozdil je, ze ISAKMP preferuje
Diffie-Hellmanovu vymenu klicu, zatimco SSL/TLS sice DH (resp. ephemeral
DH, ktery lze pouzit bez ohledu na typ certifikatu) v principu umi, ale
nejak se to moc nepouziva a zda se, ze nektere servery to sverepe
odmitaji.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux