|
robale...@interia.pl - 30 Cze 2008, 09:53 Zaczynam się wgryzać w temat IPsec i w związku z tym mam pytanko do osób które się tym zajmowały: IPsec może działać w dwóch trybach, tunelowania i transportu. W Pozdr. Krzysztof Halasa - 30 Cze 2008, 10:24 IPsec może działać w dwóch trybach, tunelowania i transportu. W przypadku korzystania z ESP i tunelowania nagłówek IP zostanie zaszyfrowany, pytanie jaki jest tego sens? Po co szyfrować nagłówek jeśli jest zapewniona integralność (hash) i poufność (szyfrowanie) danych? Czy w praktyce wykorzystuje się w ogóle tryb tunelowania? Oczywicie - po co ktos ma sie interesowac miedzy jakimi IP jest ruch w tunelu? Jaroslaw Postawa - 30 Cze 2008, 15:59 | IPsec może działać w dwóch trybach, tunelowania i transportu. W Oczywicie - po co ktos ma sie interesowac miedzy jakimi IP jest ruch Dodatkowo IPSec site-to-site (czyli to, gdzie zwykle jest użyty tryb tunnel) robi się po to, żeby połączyć np. dwie firmy. Nie jest rzadkością, że firmy te będą używać adresów prywatnych, które tak sobie przez internet nie zostaną przekazane. Rozwiązanie z dodatkowym nagłówkiem, poza bezpieczeństwem, znacznie ułatwia taką komunikację. A skoro szyfrujemy już payload, to niewielką różnicę zrobi zaszyfrowanie jeszcze nagłówka. Jarek robale...@interia.pl - 30 Cze 2008, 15:10 Dodatkowo IPSec site-to-site (czyli to, gdzie zwykle jest użyty tryb tunnel) robi się po to, żeby połączyć np. dwie firmy. Nie jest rzadkością, że firmy te będą używać adresów prywatnych, które tak sobie przez internet nie zostaną przekazane. Rozwiązanie z dodatkowym nagłówkiem, poza bezpieczeństwem, znacznie ułatwia taką komunikację. A skoro szyfrujemy już payload, to niewielką różnicę zrobi zaszyfrowanie jeszcze nagłówka. Jarek Ok, ale żeby to zrobić używa się NAT'a (odpada kwestia adresacji prywatnej bo musisz mieć adres publiczny dla routera brzegowego), przy czym trzeba użyć NAT Traversal (dodaje naglówek UDP z numerem portu). Tak czy inaczej z tego co mówicie tryb tunelu jednak jest częściej używany więc muszę jeszcze trochę pogrzebać w materialach :) Pozdr. Robalecki Krzysztof Halasa - 30 Cze 2008, 15:24 Ok, ale żeby to zrobić używa się NAT'a (odpada kwestia adresacji prywatnej bo musisz mieć adres publiczny dla routera brzegowego), Adresy routera moga byc rozmaite i to nie ma wielkiego zwiazku z adresami innych maszyn po obu stronach tunelu. Piotrek - 30 Cze 2008, 15:38 Ok, ale żeby to zrobić używa się NAT'a (odpada kwestia adresacji prywatnej bo musisz mieć adres publiczny dla routera brzegowego), przy czym trzeba użyć NAT Traversal (dodaje naglówek UDP z numerem portu). nie musisz robic NATa jesli chcesz robic site-to-site. matcha robisz z sieci local do sieci remote po prywatnych adresach i tez tak sie widza komputery po obu stronach tunelu. zew IP musisz miec na koncach do komunikacji ze swiatem, na nie ustawiasz tunel i tyle. jesli przez ten interfejs jeszcze chcesz wychodzic na swiat to robisz NAT dla ruchu na zew i NoNat na ruch ktory idzie w tunel. wtedy wykluczasz adresy tunelowane z NATa. robale...@interia.pl - 30 Cze 2008, 16:31 nie musisz robic NATa jesli chcesz robic site-to-site. matcha robisz z sieci local do sieci remote po prywatnych adresach i tez tak sie widza komputery po obu stronach tunelu. zew IP musisz miec na koncach do komunikacji ze swiatem, na nie ustawiasz tunel i tyle. jesli przez ten interfejs jeszcze chcesz wychodzic na swiat to robisz NAT dla ruchu na zew i NoNat na ruch ktory idzie w tunel. wtedy wykluczasz adresy tunelowane z NATa. W sumie racja, wystarczą ustawienia routingu, VPN zapewnia że cały czas to jest sieć wewnętrzna. Dzięki za rozjaśnienie :) Jaroslaw Postawa - 30 Cze 2008, 18:09 Ok, ale żeby to zrobić używa się NAT'a (odpada kwestia adresacji prywatnej bo musisz mieć adres publiczny dla routera brzegowego), przy czym trzeba użyć NAT Traversal (dodaje naglówek UDP z numerem portu). Tak czy inaczej z tego co mówicie tryb tunelu jednak jest częściej używany więc muszę jeszcze trochę pogrzebać w materialach :) To co piszesz używa się przy remote-VPN (doczytaj :) ). Jako pomoc w czytaniu: - NAT Traversal nie musi używać UDP, - Jaki jest ten port, który używany jest przy NAT-T? Po co się tego używa? Jak działa NAT-T? Czy urządzenia zawsze używają NAT-T? - Tunel ze statystycznego punktu widzenia jest rzadziej używany :) - zastanów się, dlaczego, - Kiedy używa się mode transport? zaawansowanych - czy da się zrobić tunel VPN, gdzie wszystkie urządzenia mają adresy publiczne i w ogóle nie jest używany NAT? Jeśli tak, to na jakiej zasadzie to będzie działać? Jarek robale...@interia.pl - 1 Lip 2008, 01:17 - NAT Traversal nie musi używać UDP, - Jaki jest ten port, który używany jest przy NAT-T? Po co się tego używa? Jak działa NAT-T? Czy urządzenia zawsze używają NAT-T? - Tunel ze statystycznego punktu widzenia jest rzadziej używany :) - zastanów się, dlaczego, - Kiedy używa się mode transport? zaawansowanych - czy da się zrobić tunel VPN, gdzie wszystkie urządzenia mają adresy publiczne i w ogóle nie jest używany NAT? Jeśli tak, to na jakiej zasadzie to będzie działać? Jarek Dzięki za "pytania pomocnicze" przynajmniej teraz wiem gdzie szukać :) Jeśli chodzi o statystyczne używanie tuneli to nic mi nie przychodzi do glowy, jakaś podpowiedz? :) Jaroslaw Postawa - 1 Lip 2008, 17:46 Dzięki za "pytania pomocnicze" przynajmniej teraz wiem gdzie szukać :) Jeśli chodzi o statystyczne używanie tuneli to nic mi nie przychodzi do glowy, jakaś podpowiedz? :) Jest sobie firma. Ma 10 oddziałów, które połączyła IPSecami site-to-site. Firma chciałaby dużo sprzedawać, więc zatrudniła 1000 handlowców i wysłała ich w teren. Handlowcy czasami potrzebują się dostać do pewnych zasobów firmowych, oczywiście znowu IPSec, tylko troszkę inny. Jarek ein - 2 Lip 2008, 19:25 Zaczynam się wgryzać w temat IPsec i w związku z tym mam pytanko do osób które się tym zajmowały: IPsec może działać w dwóch trybach, tunelowania i transportu. W Oj Panowie, naglowka IP sie nie szyfruje... Czemu nikt tego nie wylowil, az szkoda mowic gdzie mozna wsadzic sobie wasze rady jezeli czegos takiego nie widzicie... e. robale...@interia.pl - 3 Lip 2008, 02:37 | Zaczynam się wgryzać w temat IPsec i w związku z tym mam pytanko do | IPsec może działać w dwóch trybach, tunelowania i transportu. W Oj Panowie, naglowka IP sie nie szyfruje... Czemu nikt tego nie e. Z całym szacunkiem ale przy ESP w trybie tunelowania naglowek IP JEST szyfrowany... wygląda to wtedy w ten sposób: | nowy naglowek IP | naglowek ESP | stary naglowek IP | TCP/UDP | dane | ESP | ein - 3 Lip 2008, 03:19 Z całym szacunkiem ale przy ESP w trybie tunelowania naglowek IP JEST szyfrowany... wygląda to wtedy w ten sposób: | nowy naglowek IP | naglowek ESP | stary naglowek IP | TCP/UDP | dane | ESP | Od razu lepiej, moze pojechalem za mocno, ale tak wynikalo z kontekstu. :) Pozdr, robale...@interia.pl - 3 Lip 2008, 03:25 hmm, jeśli wywnioskowaleś, że caly pakiet jest szyfrowany i transportowany bez czytelnego IP to byloby zeczywiscie nowe podejscie do sieci :) Pozdr. Jaroslaw Postawa - 4 Lip 2008, 16:54 Od razu lepiej, moze pojechalem za mocno, ale tak wynikalo z kontekstu. :) Kontekst? To to, co na ASAch się konfiguruje? :) My tu IPSeci podnosimy w ramach gimnastyki porannej, co by się obudzić po 2 godzinach snu, bo przez resztę doby konfigurujemy IPSeci :) Jarek Jaroslaw Postawa - 4 Lip 2008, 16:59 hmm, jeśli wywnioskowaleś, że caly pakiet jest szyfrowany i transportowany bez czytelnego IP to byloby zeczywiscie nowe podejscie do sieci :) Eeee no, niezłe. Właśnie wymyśliłeś, jak się pozbyć ARP, RARP, DNS, DHCP, IP i mnóstwa innych rzeczy. Wysyłasz po prostu pakiet. Kto rozszyfruje, to jego :) Przy okazji rozwiązałby się problem z nielegalnym ściąganiem filmów, bo pasma by zabrakło, ale to można potraktować jako premię. Jarek robale...@interia.pl - 4 Lip 2008, 19:03 | hmm, jeśli wywnioskowaleś, że caly pakiet jest szyfrowany i | transportowany bez czytelnego IP to byloby zeczywiscie nowe podejscie | do sieci :) Eeee no, niezłe. Właśnie wymyśliłeś, jak się pozbyć ARP, RARP, DNS, Jarek No i rozwiązałoby to wszystkie problemy z routingiem - każdy pakiet byłby broadcastowy :) FreeS/WAN + x.509 + Windows 200 IPsec NAT dla windows ktory przepuszcza IPSEC problem z IPsec-iem na routerze Cisco IPsec FreeBSD -> Cisco i problem z jednym |