Administrace komentářů

Tak...

http://fedora.cz/ipsec-implementace-v-kernelu/

http://fedora.cz/ipsec-ike-demony-ve-fedore/

http://fedora.cz/strongswan-5-0-0-nova-verze-implementace-ipsec/

IPSec je povinnou součástí implementace IPv6

Jak jsem psal někde výše, už není.

takže kterýkoliv rozumně nový linuxový server by neměl mít s IPsec problém.

IPsec je implementován v kernelu už bůhví jak dlouho, není to žádná novinka, a to jak pro IPv4, tak pro IPv6, tak pro hybridní tunely.

V současné době je zajímavá jen varianta ESP.

Potvrzuju.

Pro nastavení SA je potřeba separátní démon.

Experimentovat jde čistě s příkazem ip bez jakýchkoli démonů, viz první z odkázaných článků.

Vcelku použitelné to bude pro udělání VPN - režim tunnel

Na IPv4 zcela běžně používané, není důvod si myslet, že by tomu bylo na IPv6 jinak.

Celé nastavování by nemělo být moc složité s vyjímkou nastavení autentizace.

Mnohem jednodušší než popisuješ, pokud má démon rozumné výchozí hodnoty, stačí ti zadat jen několik údajů plus autentizaci. Není problém na autentizaci použít PSK, ale obecně se doporučuje PSK generovat, jak skončíš s bezpečností na úrovni každé druhé domácí wifi.

v knížce je nakousnuto, že je možno použít certifikáty, že se nově pracuje na ukládání věcí do DNS

Obě strany se můžou autentizovat pomocí certifikátů. Buď musíš znát certifikát předem, nebo ho musíš ověřit pomocí CA, nebo ho můžeš získat z DNS, pokud mu věříš. Proto se to kombinuje s DNSSEC, kde je systém důvěry hierarchický, narozdíl od veřejných CA, kde je systém důvěry „věřím každému blbečkovi, kdo dotáhl svoji CA na seznam podporovaných“. Co z toho je lepší, nechť posoudí každý sám.

Existuje nějaká CA, která mi vydá certifikát pro mojí IP? Jak ověří, že jsem vlastníkem té IP? Bude to mít dostatečnou váhu?

Já osobně doufám, že se pro IPsec nikdy systém veřejných CA používat nebude, stejně jako se nepoužívá na jiné věci, kde na bezpečnosti alespoň trochu záleží.

Jinak řečeno, kromě použití na administrativně moje tunely,

To je hlavní použití.

je to nějak prakticky použitelná technologie z globálního hlediska?

Tak konfigurované zabezpečené přístupy s autentizací obou stran jsou velice globální hledisko. Ale jestli se ptáš, je to technicky schopné nahradit TLS, tak ano. Jestli se ptáš, jestli ho to nahradí, tak křišťálovou kouli. V nejbližší době určitě ne, nejsou na to ani nadefinovaná API, pokud vím.

že se jedná sice o povinnou vlastnost implementace IPv6, ale téměř nikde nepoužitou

Naopak, jako VPN řešení to používají skoro všichni. Nicméně běžná implementace IPsec často vůbec nevyužívá, proto to bylo taky zrevidování a povinnou součástí už to není. Nicméně to v nějaké míře umějí všechny OS, co nějak běžně potkávám.

když u každé IPv6 komunikace nejprve ověřím, zda je cílová strana mi ochotna poskytnout (alespoň) nějaký certifikát?

A jak jinak by to mělo být? Myslím, že DNS dotaz na tohle bude ideální.