Vlákno názorů k článku Tuneluji, tuneluješ, tunelujeme: IPSec od CIJOML - mno dobre a co kdyz jsem na wifi,...
-
CIJOML (neregistrovaný)
mno dobre a co kdyz jsem na wifi, za maskaradou a mam na netu server pres ktery bych chtel jet. tzn kdykoliv pustim muj domaci stroj, tak aby nahodil ipsec na ten stroj na netu a tim padem sifroval komunikaci az na ten stroj. ten stroj ale nesmi automaticky navazovat spojeni ke me jen pasivne cekat na koneksi ode me.
Dale v clanku jsem nejak nenasel jesli ipsec jede nad udp nebo tcp -
Michal Kara (neregistrovaný)
Dejte auto=add. Tunel bude pridan, pokud se jej nekdo pokusi nahodit (i zvenku), tak nabehne, ale IPSec na teto masine jej sam startovat nebude.
Ad protokol: Mozna jste to tam nenasel proto, ze nejede ani nad jednim, alebrz nad dvema vlastnimi IP protokoly (ESP a AH) :-) -
Michal Ludvig (neregistrovaný)
Je mozne pouzit NAT-T (NAT traversal) mode, ktery bali ESP a AH pakety do UDP, ktere jiz NATem projdou. Samozrejme je nutne mit podporu na obou stranach tunelu.
Taky stoji za zminku Super FreeS/WAN - tedy hodne opatchovana verze freeswanu, ktera obsahuje mj. i ten NAT-T, dal podporu pro X.509 certifikaty, a mnoho dalsich uzitechnych vychytavek:
http://www.freeswan.ca/ -
Peter Ronai (neregistrovaný)
No ja by som dodal ze to nie je celkom pravda. Na negociaciu klucov sa pouziva IKE co je UDP port 500 a potom sa pouziva bude ESP alebo zastaralejsie AH. Komercne implementacia vacsinou AH nepouzivaju alebo snazia sa nepouzivat. V pripadoch kde nie je mozne pouzivat L2 protokoly, je mozna UDP encapsulacia a teda je mozne mat aj IPSEC cisto cez UDP.
-
dasno (neregistrovaný)
Jedna sa o ciastkove informacie, ktore by si jeden mohol zle vysvetlit...
Hlavny rozdiel medzi ESP a AH je, ze:
ESP = "!confidentiality guarantee! for packets, by encrypting packets..."
a AH = "provides !authenticity guarantee! for packets, by attaching strong crypto checksum to packets...". Teda zalezi len na tom, co povazujeme za bezpecnejsie, ci zakryptovat cely packet, alebo len pridavat kryptovane checksumy. Stale ale mame na vyber aj ESP aj AH!
Neda sa teda jednoznacne povedat co je zastaralejsie. ?Mozno len vzhladom na casovu chronologiu ich vzniku?
zdroj: www.netbsd.org/Documentation/network/ipsec/
ČLÁNKY DO MAILU