#11
|
|||
|
|||
Re: Работа ipsec на нестандартных портах
Eugene Grosbein написал(а) к Alexey Vissarionov в Jul 17 00:44:43 по местному времени:
05 июля 2017, среда, в 14:10 NOVT, Alexey Vissarionov написал(а): AV>>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32 AV>>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал AV>>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) - AV>>>>> "если ты не гомосек, не используй IPsec" :-) EG>>>> Тот коллега был просто неумеха. AV>>> Тот коллега был экспертом по ИБ, и знал, о чем говорит. EG>> У специалистов по ИБ упор совсем на другие навыки, нежели умение EG>> готовить IPSEC. AV> Да я, знаешь ли, в курсе... :-) Так что из "специалист по ИБ" совсем не следует "знал, о чем говорит", когда речь об IPSEC. И уж точно в подобном случае, когда говорит совершенно противоположное правде. EG>>>> Не говоря уже о том, что POODLE и SWEET32 не имеют отношения к EG>>>> IPSEC, который прекрасно подходит для шифрования трафика. AV>>> Да ну? Оттуда уже выпилили 3DES-EDE? EG>> Дык это каждый сам решает, использовать ли ему 3DES или нет. EG>> И если кто-то 3DES не отключает, то это не проблема IPSEC. AV> Мне, конечно, давно не доводилось всерьез крутить хвосты эхотагам, но все же AV> вспоминается, что отключение этого атавизма было возможно далеко не везде, а AV> действия по его отключению (не настройке предпочитаемого алгоритма, а именно AV> полному запрету fallback до DES и его производных) были весьма нетривиальными. Всё ровно наоборот. Нужно явным образом задавать используемый набор алгоритмов для proposal в crypto policy/transform-set, чтобы оно вообще согласовало шифрование. AV>>> И добавили хоть один алгоритм, работающий не в режиме сцепления AV>>> блоков? EG>> С добрым утром. RFC 4106 AV> Если говорить про режим счетчика над конечным полем, то лучше вспомнить AV> RFC-4309. EG>> вышел 12 лет назад, AV> И где? Модель эхотага и версию софта - в президиум! А то, что авторами множества RFC на IPSEC является Cisco Systems в лице своих сотрудников тебе совсем ничего не говорит? Ну вот навскидку первое в гугле: http://csrc.nist.gov/groups/STM/cmvp.../140sp2065.pdf EG>> а есть и другие. AV> Ага, есть... например, RFC-2410 :-) AV> Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают, а AV> пользуют RFC-3602, как когда-то было описано в популярном мануале. Это опять же не проблема IPSEC. AV> Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна - AV> просто потому, что в подавляющем большинстве случаев усеру нужен тоннель, а в AV> тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель. Проснись и пой - в современном интернете половина юзеров на смартфонах, которые вполне себе реализуют l2tp over IPSEC transport mode безо всяких туннелей. И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256, который нынче в каждом андроиде. Eugene --- slrn/1.0.2 (FreeBSD) |