Administrace komentářů

Zdravím, zajímalo by mně, jak je na tom v současné chvíli IPSec (jako součást IPv6), k čemu se to prakticky dá použít a jaký je cca stav tak nějak obecně. Přečetl jsem adekvátní kapitolu v knížce pana Satrapy a udělal jsem si cca takovéto závěry:

• IPSec je povinnou součástí implementace IPv6, takže kterýkoliv rozumně nový linuxový server by neměl mít s IPsec problém.
• Na nejnižší (síťové) úrovni je potřeba mít nastavené SA (Security Associations) a pravidla pro filtrování (t.j. kde IPSec použít, kde ne, kde ho očekávat a kde vyžadovat).
• V současné době je zajímavá jen varianta ESP.
• Pro nastavení SA je potřeba separátní démon.
• Vcelku použitelné to bude pro udělání VPN - režim tunnel

Celé nastavování by nemělo být moc složité s vyjímkou nastavení autentizace. Jinak řečeno, pokud démon vyhodnotí příchozí požadavek OK po stránce ověření zdroje, pak už jde jen o "pár drobností" ve stylu zvolit šifrovací algoritmy, nějaké doby platnosti (očekával bych rozumné defaulty) a pravidla, pro které adresy je to IPSec povinný. Démon nahodí nějaké SA (de facto klíče a metodiku jejich použití) a kernel spokojeně bude (de)šifrovat, podepisovat a verifikovat.

Ale co by mě nejvíc zajímalo, jsem v knížce ani při googlování nenašel. Právě to ověření autentičnosti zdroje - v knížce je nakousnuto, že je možno použít certifikáty, že se nově pracuje na ukládání věcí do DNS, ale nebylo tam moc podrobností. Spíš než o vytvoření nějaké VPN (tedy vlastní CA nebo něco bez PKI) mi jde o problém, který IPSec slibuje řešit už od prvopočátku: ověření IP adresy komunikujícího partnera. Řekněme tedy, že mám pokusný server, kde bych chtěl nastavit IPSec tak, aby se kdokoliv, kdo se bude připojovat mohl ujistit, že komunikuje právě s tím serverem a s nikým jiným.

Existuje nějaká CA, která mi vydá certifikát pro mojí IP? Jak ověří, že jsem vlastníkem té IP? Bude to mít dostatečnou váhu? Přestože se okolo CA a PKI docela pohybuju, nezaregistorval jsem nějaké takové nabídky. Nebo se vyplatí počkat, až se udělá standard na ukládání do DNS a pak si nacpat do reverzní zóny informace?

Jinak řečeno, kromě použití na administrativně moje tunely, je to nějak prakticky použitelná technologie z globálního hlediska? Navíc se mi to zdá degradované tím, že se jedná sice o povinnou vlastnost implementace IPv6, ale téměř nikde nepoužitou - jak budu úspěšný, když u každé IPv6 komunikace nejprve ověřím, zda je cílová strana mi ochotna poskytnout (alespoň) nějaký certifikát?