Тема: Работа ipsec на нестандартных портах
Показать сообщение отдельно
  #9  
Старый 05.07.2017, 16:50
Alexey Vissarionov
Guest
  
Сообщений: n/a
По умолчанию Работа ipsec на нестандартных портах
Alexey Vissarionov написал(а) к Eugene Grosbein в Jul 17 15:10:00 по местному времени:

Доброго времени суток, Eugene!
05 Jul 2017 18:39:20, ты -> мне:

AV>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>>> "если ты не гомосек, не используй IPsec" :-)
EG>>> Тот коллега был просто неумеха.
AV>> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG> У специалистов по ИБ упор совсем на другие навыки, нежели умение
EG> готовить IPSEC.

Да я, знаешь ли, в курсе... :-)

EG>>> Не говоря уже о том, что POODLE и SWEET32 не имеют отношения к
EG>>> IPSEC, который прекрасно подходит для шифрования трафика.
AV>> Да ну? Оттуда уже выпилили 3DES-EDE?
EG> Дык это каждый сам решает, использовать ли ему 3DES или нет.
EG> И если кто-то 3DES не отключает, то это не проблема IPSEC.

Мне, конечно, давно не доводилось всерьез крутить хвосты эхотагам, но все же вспоминается, что отключение этого атавизма было возможно далеко не везде, а действия по его отключению (не настройке предпочитаемого алгоритма, а именно полному запрету fallback до DES и его производных) были весьма нетривиальными.

AV>> И добавили хоть один алгоритм, работающий не в режиме сцепления
AV>> блоков?
EG> С добрым утром. RFC 4106

Если говорить про режим счетчика над конечным полем, то лучше вспомнить RFC-4309.

EG> вышел 12 лет назад,

И где? Модель эхотага и версию софта - в президиум!

EG> а есть и другие.

Ага, есть... например, RFC-2410 :-)

Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают, а пользуют RFC-3602, как когда-то было описано в популярном мануале.

Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна - просто потому, что в подавляющем большинстве случаев усеру нужен тоннель, а в тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Сверхзвуковая реактивная ступа с изменяемой геометрией помела
--- /bin/vi
Ответить с цитированием