Administrace komentářů

IPSec je povinnou součástí implementace IPv6

Jak jsem psal někde výše, už není.

Moje informace vycházela z knížky pana Satrapy aktualizované ke konci roku 2011, ale pokud je tomu už jinak, tak to asi nijak moc nevadí, jen si to chce dát pozor a vybírat implementace, které IPSec mají, pokud ho budu požadovat... A dokonce si i odpustím si poznámku, že IPv6 mění vnitřnosti jak politici názory (no dobře, úplně neodpustím ).

IPsec je implementován v kernelu už bůhví jak dlouho, není to žádná novinka, a to jak pro IPv4, tak pro IPv6, tak pro hybridní tunely.

Tak nějak jsem ten svůj bod myslel, prostě přijdu k Fedoře 7 a bude to tam...

Experimentovat jde čistě s příkazem ip bez jakýchkoli démonů, viz první z odkázaných článků.

A je to možné použít i v nějaké malé míře rozumně produkčně nebo opravdu jen na experimenty? Tedy, existuje nějaké rozumné produkční scenario (fuj slovo), kde to takhle bude stačit a bude to smysluplné?

Vcelku použitelné to bude pro udělání VPN - režim tunnel

Na IPv4 zcela běžně používané, není důvod si myslet, že by tomu bylo na IPv6 jinak.

Souhlas, ale na dělání VPN existuje spousta jiných toolů, proto mě tohle využití tolik nezajímá.

Jinak řečeno, kromě použití na administrativně moje tunely,

To je hlavní použití.

To už je podle mně dost subjektivní názor. Osobně IPSec chápu jako možnost, jak obecně ověřit protistranu, tedy přijde spojení z IP adresy x::y, já jí v životě neviděl, ale budu schopen věřit, že je to ta adresa. Pokud tohle IPSec nedovede zajistit, tak se u mně dostává plus/mínus na úroveň OpenVPN. Možná lepší, možná horší, ale pořád ve stejné kategorii...

Obě strany se můžou autentizovat pomocí certifikátů. Buď musíš znát certifikát předem, nebo ho musíš ověřit pomocí CA, nebo ho můžeš získat z DNS, pokud mu věříš. Proto se to kombinuje s DNSSEC, kde je systém důvěry hierarchický, narozdíl od veřejných CA, kde je systém důvěry „věřím každému blbečkovi, kdo dotáhl svoji CA na seznam podporovaných“. Co z toho je lepší, nechť posoudí každý sám.

Tohle je samozřejmě dobrá otázka. Přiznám se, že nevím, jak je to s podepisováním reverzních zón, takže DNSSEC jako technologie ano, ale mám pocit, že použití v této oblasti zatím není (ale jak řikám, můžu se mýlit). Co se týče přístupu s blbečkem, co něco někam dotáhl... No jak to říct, docela by mi zatím stačilo, kdyby to fungovalo v rámci ČR a v rámci ČR máme akreditované CA, které když něco podělají, tak rovnou dotáhnou automatickou pokutu 5-10 mega. A ještě je ta důvěryhodnost podložena v zákonech ČR, imho je to docela silné... Ve srovnání s třeba NIC (nic proti NIC ), který v případě podepisování reverzních zón zcela určitě nebude mít takhle silné základy...

když u každé IPv6 komunikace nejprve ověřím, zda je cílová strana mi ochotna poskytnout (alespoň) nějaký certifikát?

A jak jinak by to mělo být? Myslím, že DNS dotaz na tohle bude ideální.

To jsem myslel trochu jinak. Jakou cca budu mít v současné době úspěšnost, když všechny IPv6 adresy, na které normálně lezu, nejdřív požádám o certifikát (zatím řekněme úplně jakýkoliv)?

Ostatní věci buď souhlasím nebo jsou naopak v kategorii subjektivních názorů, na kterých se my dva neshodneme a nemá cenu o nich diskutovat