IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete (diskuse)

Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Videozáznamy z LinuxDays 2025

včera 20:00 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

Ladislav Hagara | Komentářů: 0

Turris Omnia NG

4.10. 15:22 | IT novinky

Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

Ladislav Hagara | Komentářů: 21

Přímý přenos z LinuxDays 2025

4.10. 05:22 | Komunita

Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

Ladislav Hagara | Komentářů: 11

Soud zrušil rekordní pokutu pro Avast

3.10. 22:44 | IT novinky

V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

… více »

Ladislav Hagara | Komentářů: 6

Google Chrome 141

3.10. 19:00 | Nová verze

Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

eDoklady mají kvůli vysoké zátěži technické potíže

3.10. 17:11 | Upozornění

eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.

Ladislav Hagara | Komentářů: 19

Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling

3.10. 17:00 | Komunita

Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.

Ladislav Hagara | Komentářů: 1

Vývoj webového prohlížeče Ladybird (09/2025)

3.10. 14:33 | Komunita

Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za září (YouTube).

Ladislav Hagara | Komentářů: 0

Vyšla kniha Počítačové programy a autorské právo

3.10. 12:33 | Upozornění

Vyšla kniha Počítačové programy a autorské právo. Podle internetových stránek nakladatelství je v knize "Významný prostor věnován otevřenému a svobodnému softwaru, jeho licencím, důsledkům jejich porušení a rizikům „nakažení“ proprietárního kódu režimem open source."

javokajifeng | Komentářů: 0

Neoprávněný přístup do GitLab instance používané konzultačním týmem Red Hatu

3.10. 01:11 | Bezpečnostní upozornění

Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané svým konzultačním týmem.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (38%)

Gitlab (45%)

Atlassian (16%)

Bitbucket (18%)

Gitea (20%)

Mercurial (15%)

jen git (18%)

jen svn (16%)

Jiné (uvedu v diskusi) (16%)

Celkem 176 hlasů

Komentářů: 12, poslední 4.10. 20:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Blogy / Bravenec / IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete / IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (0) ?

Vložit další komentář

24.2.2011 11:50 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Odpovědět | Sbalit | Link | Blokovat | Admin

Možná jsem úplně mimo, IPv6 do detailu neznám a prakticky jsem to pouze testoval v tunelu, ale v čemu potřebuješ IPsec, pokud je IP protokolem IPv6? Není náhodou zabezpečení součástí toho protokolu?

24.2.2011 12:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

IPsec je právě to zabezpečení, které je součástí protokolu IPv6. IPsec původně vznikl jako bezpečnostní rozšíření protokolu IPv6 a teprve později byl v upravené podobě implementován i pro IPv4.

24.2.2011 12:06 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Pro přesnost: místo "součástí" by mělo být "povinně implementovaným rozšířením".

24.2.2011 12:55 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

OK, podobně jsem to myslel, jen neznám detaily.

24.2.2011 12:25 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Odpovědět | Sbalit | Link | Blokovat | Admin

Odkazovany clanek pouziva IPsec v esp/transport mode. Pokud se IPsec pouziva v esp/tunnel mode, jde v podstate o VPN. Takze neni pravda, ze by v IPv6 nebylo VPN, je tam a dokonce vestavene.

24.2.2011 12:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

A naopak: transport mode lze používat i s IPv4.

24.2.2011 14:00 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Odkazovaný článek používá IPsec v transport i tunnel modu a vysvětluje rozdíly. V tunnel modu se mimo obsah šifrují i hlavičky.

Souhlasím s tím, že VPN v IPv6 existuje a je vestavěné. Ale myslím si, že pojem VPN s rozšířením IPv6 zmizí, ztratí význam. Je dnes například někdo, kdo by dával nějaká zvláštní jména tomu S v httpS?

Článek především ukazuje na rozdíl v přístupu k jedné a téže věci na IPv4 a IPv6. V praxi bude tento rozdíl ještě větší:

IPv4: Tak vy chcete propojit dvě pobočky? Tak to budeme muset nainstalovat VPN. Můžete si stáhnout OpenVPN, ale tenhle SuperIpVpnŠifrátor je lepší a klikavější a bezpečnější. A tady tenhle Šifrofáč dokonce funguje i přes nat a ve firewallu se nemusí nic nastavovat! Nojo, hádá se nám to s adresama ISP, tak něco přečíslujeme. Jono, VPN, to je složitá technilogia. Pošlu vám fakturu...

IPv6: Pro přenosy mezi pobočkami zapneme šifrování, ok?

U zákazníků narážím v souvislosti s VPN na velmi neuvěřitelné věci. Nad vynalézavostí mých předchůdců-administrátorů mi zůstává rozum stát. VPN je málokdy nainstalovaná kvůli bezpečnosti - většinou se tak obchází nutnost NATu v IPv4. Pokud už VPN slouží k zabezpečení, propojuje naprosto nesmyslně podnikovou síť (SElinux, milióny řádků v logu o útocích, portnocking - zabezpečeno mimózním paranoikem) s domácím počítačem syna agresivně asertivního firemního účetního s pochybným zabezpečením a se zapnutým forwardingem, aby mohl tatínek v sobotu večer provádět zabezpečené účetní operace. Heh :-/

IPsec ve spojení s IPv6 přináší takové zjednodušení, že o VPN fakt nemá cenu hovořit.

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 14:41 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

VPN je v podstate synonymum pro sifrovany tunel (a duraz na 'tunel' je stejny jako na 'sifrovany'), nelze to zjednodusit jen na 'sfrovane spojeni'. A tunely v dohledne budocnosti nejspis stale budou obcas potreba, at uz sifrovene (treba IPsec tunnel mode) nebo nesifrovane (GRE).

Takze tu mame tri ruzne pojmy pro tri ruzne moznosti pouzivane pri ruznych prilezitostech - sifrovane spojeni (IPsec transport), sifrovany tunel (IPsec tunnel) a (nesifrovany) tunel.

Takze jde v podsate o tom, zda se v situaci vedouci k nasazeni sifrovaneho tunelu bude jeden admin ptat druheho:

"Pro prenosy mezi pobockama nastavime sifrovany tunel?" nebo "Pro prenosy mezi pobockama nastavime VPN?".

Netusim, proc by mel pojem "sifrovany tunel" nutne zvitezit nad pojmem "VPN" (ackoliv sam osobne preferuju ten prvni).

24.2.2011 15:24 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

"Pro prenosy mezi pobockama nastavime sifrovany tunel?" nebo "Pro prenosy mezi pobockama nastavime VPN?".

"Spojíme ty sítě pomocí VPN?" (ipv4 - kombinace šifrování, tunelování, routování a natu, složité tak, že to potřebuje vlastní jméno)

"Zapneme mezi těmi sítěmi šifrování?" (ipv6 - jednoduché tak, že lze označit obecným pojmem "šifrování")

V IPsec znamená režim "tunnel" jen to, že se zašifrují i hlavičky. Česky: "šifrováním jsme skryli i adresy".

Ke svému ISP jsem připojený přes PPTP, to je taky šifrovaný tunel. Je mi ukradené tomu "nějak říkat", pro mě to je "připojení".

Až bude "šifrování" v IP znamenat "IPsec zapnuto", nebude potřeba tomu říkat jménem.

Dneska VPN zahrnuje velkou skupinu různých postupů a produktů, které se většinou ani nepoužívají kvůli zabezpečení.

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 19:28 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

V IPsec znamená režim "tunnel" jen to, že se zašifrují i hlavičky.

Pokud vim, tak i v IPsec znamena tunnel rezim vicemene to same, jako v jakykoliv jinem tunelovem protokolu - tedy vytvoreni virtualni linky pomoci zapouzdreni celych paketu. Oproti prostemu sifrovani je mozne skrz takovou linku routovat.

24.2.2011 20:02 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

OK. Přečtěte si ten článek ještě jednou. Třeba i pozpátku, jestli vám to pomůže.

Proč vytvářet nějakou speciální "linku" kvůli zabezpečení, když cesta už existuje a stačí jen zapnout šifrování?

Speciální linku potřebujete vytvářet u IPv4, kde "vpn" znamená soubor různých technologií zabalených do jednoho balíku (šifrování, routování a nat) a prodávaný pod konkrétním obchodním jménem.

V IPv6 cesta existuje a není třeba nic dalšího. Jo, krom případu, kdy potřebuji skrýt své přenosy, potom jen zapnu šifrování. Přičemž mi dává protokol na výběr ze dvou možností - buď šifrovat pouze data, nebo i hlavičky.

V IPv6 skrz tu linku neroutujete. Ta linka existuje nezávisle na IPsec. Pomocí IPsec pouze říkáte, jakým způsobem se data přenášejí. Platí to i v případě režimu "tunnel".

I z jiných diskusí mi připadá, že jste příliš hluboko v zajetí toho, co znáte. Proč se držíte slovíček a vyjadřujete se k věcem, kterým zcela zjevně nerozumíte, nebo vám je maximálně někdo sdělil zpoza katedry?

Rozchoďte si IPv6 a zkuste nastavit i IPsec. Zkuste si IPsec mezi dvěma konkrétními počítači. Vyzkoušejte si oba režimy. Zapojte takhle třeba celou síť nebo dvě. Pak se vám rozsvítí a řeknete si: "Routovat přes tunel v ipv6? Bože, to je bejkárna! Jak mě mohla taková volovina vůbec napadnout!?"

V IPv4 a IPv6 jsou velké, opravdu velké rozdíly.

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 20:37 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Proč vytvářet nějakou speciální "linku" kvůli zabezpečení, když cesta už existuje a stačí jen zapnout šifrování?

Ale ta linka (tunel) se nevytvari kvuli zabezpeceni! Tunely neslouzi primarne kvuli zabezpeceni, ale kvuli uplne jinym vecem (primarne ruznym formam uprav routovani). Proto se take casto pouzivaji i nesifrovane, nezabezpecene tunely (treba GRE).

Samozrejme, pokud potrebuju pouze zajistit sifrovane spojeni, pak nepotrebuju zadnou tunelovaci technologii, ale casto clovek potrebuje neco jineho.

Napriklad:

- propojeni oddelenych siti pouzivajicich ULA adresy (kvuli multihomingu).

- propojeni oddelenych siti na L2 urovni.

- pouzivan adres z jine site, nez pres kterou jsem fyzicky pripojen (napr, kvuli multihomingu nebo mobilite nebo proste proto, ze potrebuju pripojit celou sit a fyzicky ISP me poskytl jen /128).

...

Me pro zmenu prijde, ze nemate predstavu, k cemu vsemu se pouzivaji (at uz sifrovane nebo nesifrovane) tunely resp. VPN. Zdaleka ne jen kvuli bezpecnosti.

24.2.2011 20:51 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Nebo jeden priklad za vsechny - mam dve oddelene site pouzivajici verejne adresy a mam je propojene vlastni optickou linkou, ale kazde misto ma take samostatne pripojeni do Internetu. Chci mit failover pres internet pro pripad vypadku te opticke linky. Opticke lince duveruju, tak pres ni sifrovat nepotrebuju (a navic pri jeji rychlosti by se to ani nestihalo), ale failover linka pres internet musi byt sifrovana (je take pomalejsi). Pri pouziti sifrovaneho tunelu (VPN) trivialita - na tunelu a opticke lince pustim OSPF a jenom zmenou routovaci tabulky (coz dela OSPF demon) zajistim, zda provoz do stejneho cile bude sifrovan pres tunel nebo pujde nesifrovane pres optickou linku.

Obecne IPsec tunnel mode tak, jak je navrzen, umi delat bezne tunely (VPN). Mozna jedna z jeho mnoha implementaci, ta, kterou jsi zkousel, to neumi, ale to je pak spis problem te implementace.

24.2.2011 21:30 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

I v tomto případě je šifrování jen zabezpečením existující cesty a speciální "linku" tvořenou pomocí VPN nepotřebuje. Router budu mít nastavený pořád stejně, pakety budou putovat pořád stejně, jenom se na část trasy zapne šifrování.

Nemáte pocit, že oba mluvíme o něčem jiném? Já jsem postavil proti sobě šifrované propojení dvou sítí protokolem IPv6 a obvyklý komplikovaný postup známý z IPv4 (nat, tunel, routing, šifrování). Slova jsem volil záměrně provokativní, abych vyzdvihnul rozdíl.

Říkám: "Pro zabezpečení přenosů VPN netřeba" a vy na to: "Ale tunel se dá použít i na úplně jiné věci".

To je jakobych říkal: "Přes most můžete přejít pěšky a klidně i bos" a vy na to: "Ale tunelem metra se můžete projet taky!"

Obojí je pravda, ale nijak to spolu nesouvisí.

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 21:38 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Říkám: "Pro zabezpečení přenosů VPN netřeba" a vy na to: "Ale tunel se dá použít i na úplně jiné věci".

Ten clanek (a predchozi prispevky) rika ale neco jineho - "v IPv6 VPN netreba" a demonstuje to tim, ze VPN neni treba pro zabezpeceni prenosu, ja na to "v IPv6 sice neni VPN treba pro zabezpeceni prenosu, ale VPN se pouziva i na spoustu jinych veci, proto je v IPv6 VPN potreba taky".

Neboli nedorozumeni mohlo vznikout pouzivanim prilis bombastickych tvrzeni.

24.2.2011 21:57 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Ahááááá, vy jste si nepřečetl ani nadpis!

Ten článek se jmenuje "IPsec na IPv6" a věnuje se čistě zabezpečení přenosu, ničemu jinému. Kdyby se jmenoval "Význam tunelovacích technologií v praxi síťového administrátora" a já bych v něm rozebíral zbytečnost tunelů, teprve pak by šlo o nedorozumění.

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 22:33 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Clanek (a nadpis) jsem si precetl, ale me i tve reakce v tomto threadu dalece presahuji pouze oblast zabezpeceni prenosu. Napr. veta "Ale myslím si, že pojem VPN s rozšířením IPv6 zmizí, ztratí význam." lze tezko chapat pouze v kontextu zabezpeceni prenosu.

Jinymi slovy, tve reakce vypadaji, jako by vychazely z implicitniho predpokladu, ze lide pouzivaji VPN hlavne kvuli tomu, aby obchazeli problemy spojene s IPv4 a privatnima adresama a vzajemnou neviditelnosti. Ja tvrdim, ze v znacne casti pripadu tomu tak neni.

24.2.2011 22:58 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Několikrát jsem tady v diskusi řekl, že většina VPN, na které v praxi narážím, neslouží k zabezpečení, případně k němu nijak významně nepřispívají.

A ano - většina VPN, na které narážím, je nainstalovaná právě k tomu, aby se obcházely problémy s NAT v IPv4.

Může to být dané okruhem mých zákazníků.

S IPv6 by většina těchto VPN nevznikla a s přechodem na IPv6 jejich existence ztratí smysl. Pro ty "administrátory", kteří tyto VPN uváděli v život, ztratí tím pádem svůj význam i VPN. Přestanou se těmito VPN zabývat, začne to pro ně být prázdné slovo. Na jednoho člověka schopného pochopit a nastavit skutečný tunel bude připadat dvacet dalších, pro které bude tunelem šifrování hlaviček v IPsec, případně si nepředstaví vůbec nic. Slovo VPN a tunel z jejich slovníku zmizí, tak jak přestanou tuto technologii používat.

Abych nebyl nařčen, že "všechny tunely přece neslouží pro obcházení natu", podotýkám, že potkávám i tunely a VPN, které slouží svému účelu dobře a budou sloužit i nadále.

Petr Bravenec - Hobrasoft s.r.o.

25.2.2011 00:33 sigma
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Ony ty tunely "na obcházení NATu" nejsou jen kvůli tomu NATu. Není výjimkou, že pro notebook někde dostanete veřejnou IPv4, ale příchozí spojení jsou blokována, a pro odchozí jdou jen porty 80 a 443. Proto často buzzword "SSL VPN, connect from any network". A tohle se s IPv6 nikterak nezmění. Kde mají administrátoři důvod dělat takovéto firewallové obstrukce, tam IPv6 nepomůže. Kde není fw až takto restriktivní, bývají obvykle blokovány SMTP porty, a to IPsec fakt neřeší. SSL VPN ano.

Když máme na IPv6 ten IPsec povinně podporovaný, není pak zbytečné i HTTPS? Ono bude v praxi velký rozdíl v tom, co říká o podpoře různých IPv6 features standard, a co se bude v reálných sítích často blokovat a zakazovat, a jaký společný základ, na který se lze jakž-takž spolehnout, z toho vznikne. Tohle bude podle mě i zabiják pro větší využitelnost mobility extensions.

Pro člověka cestujícího s notebookem je u VPN podstatné, že se do firemní sítě bezpečně připojí všude, kde je "internet" -- rozuměj tam, kde jde otevřít facebook přes HTTP(s).

24.2.2011 21:42 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

I v tomto případě je šifrování jen zabezpečením existující cesty a speciální "linku" tvořenou pomocí VPN nepotřebuje

Tu virtualni linku potrebuju uz jen kvuli tomu, abych na ni mohl pusit OSPF. I kdyz je pravda, ze v tomto pripade by asi stacilo mit OSPF jen na opticke linke a zbytek nechat na defaultni route, cistci reseni by asi ale bylo mit OSPF na obou.

24.2.2011 21:49 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Proč vytvářet nějakou speciální "linku" kvůli zabezpečení, když cesta už existuje a stačí jen zapnout šifrování?

Ale ta linka (tunel) se nevytvari kvuli zabezpeceni!

Ta linka se především vůbec nevytváří. Ta linka už existuje.

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 22:41 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Ta linka se především vůbec nevytváří. Ta linka už existuje.

linka (ve smyslu ptp spoj tvarici se vicemene jako jeden hop, fungujici vicemene na linkove urovni, transparentne bez ohledu na zdrojove a cilove adresy) neexistuje, existuje akorat cesta vedouci skrz nekolik (obvykle cizich) routeru.

24.2.2011 16:14 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

V tunnel modu (pokud je to tak nastavené) se dá přenášet i jiný protokol než IPv6. To je pro postupný přechod z IPv4 dost důležitá věc.

24.2.2011 21:07 Kvakor
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

V Linuxu jsou dokonce ošetřeny obě možnosti tím, že se dá vybrat mezi zaříením TUN a TAP. Zatímco to první se chová jako klasický tunel na IP vrstvě (tj. jde skrz něj routovat), TAP se chová jako bridge, takže vzálený stroj jen na tom stejně, jako kdyby byl zapojen do místního switche. V ideálním světě by stačila ta první možnost, ale bohužel je tu třeba i ta druhá, protože některé trhlé protokoly (např. sdílení ve Windows) fungují jen na lokálnáí síti.

24.2.2011 22:19 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

TUN a TAP zarizeni ve skutecnosti s tunelovanim a VPN nemusi dvakrat souviset - to jsou akorat rozhrani urcena pro predavani packetu do userspace. Samozrejme mnohe tunelovaci nastroje jako OpenVPN jsou implementovane v userspace a tak tato rozhrani vyuzivaji, ale jine (treba jiz zminene GRE) jsou implementovane prevazne v kernelu a nic takoveho nepotrebuji.

24.2.2011 12:30 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Odpovědět | Sbalit | Link | Blokovat | Admin

Odkazovaný článek používá PSK, to má smysl v podstatě jen tam, kde není jiného zbytí - např. když protistrana nic jiného neumí. Je-li na obou stranách Racoon, upřednostnil bych certifikáty.

24.2.2011 13:18 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Není to v některých případech trochu overkill? Mám-li takto propojené dvě pevné sítě, je starost o certifikáty jaksi navíc...

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 14:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

PSK je pořád shared secret, tj. tajná informace sdílená na obou stranách. Což není šťastné ani z bezpečnostního ani z praktického hlediska. Při použití certifikátů má každý uzel svůj pár klíčů a ten může používat pro komunikaci se všemi ostatními.

24.2.2011 16:30 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Při použití certifikátů má každý uzel svůj pár klíčů a ten může používat pro komunikaci se všemi ostatními.

"Všichni ostatní" jsou v tomto případě jeden uzel - brána druhé LAN. Kompromitace jednoho uzlu tedy vždy znamená odhalení veškeré šifrované komunikace. Jaký je tedy v tomto případě praktický a bezpečnostní rozdíl mezi certifikáty a PSK?

24.2.2011 16:46 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Že nic neodhalíš. Pokud je použito asymetrické šifrování, tak ti je klíč k serveru na nic, protože si nepřečteš už zašifrované pakety od ostatních. Můžeš se vydávat za ten kompromitovaný uzel, ale to je tak všechno.

Hello world ! Segmentation fault (core dumped)

24.2.2011 17:22 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Nepletu-li se, IKE2 server domlouvá pro každé spojení nové klíče, navíc v každém směru různé.

Takže stejně jako s certifikáty, ani s psk nic neodhalím. Můžu se vydávat za ten kompromitovaný uzel, ale to je tak všechno.

Heslo není špatně. Privátní klíč bez hesla a volně uložený na disku je totéž, jako heslo zapsané v souboru. Z hlediska bezpečnosti to vyjde na stejno a nastavení pro pár šifrovaných kanálů je s heslem neporovnatelně jednodušší.

Petr Bravenec - Hobrasoft s.r.o.

24.2.2011 23:20 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

To že se domlouvají klíče je úplně jedno, pokud zachytíš domluvu. U sdíleného hesla máš na obou stranách totéž, takže můžeš dopočítat klíče úplně stejně jako to dělá server. Pokud máš jen půlku klíče, tak máš smůlu (nebo je to alespoň o poznání těžší).

Hello world ! Segmentation fault (core dumped)

24.2.2011 23:41 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Domluvu nezachytím. Při navazování spojení mezi dvěma IKE servery se v prvním kroku vytváří šifrovaný kanál pomocí jednorázových asymetrických klíčů, teprve potom se ověřuje totožnost (heslem či certifikátem). Z tohoto pohledu je bezpečnost hesla i certifikátu stejná.

Výhodu certifikátů bych viděl spíš jinde: s přibývajícím počtem připojených klientů stoupají nároky na správu certifikátů mnohem pomaleji, než u hesel. U pěti statických linek je správa hesel snadná. U patnácti neposedných klientů už mohou být hesla administrátorovou noční můrou a certifikáty vysvobozením.

Petr Bravenec - Hobrasoft s.r.o.

25.2.2011 23:38 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Kdybych si z diskrétní matematiky pamatoval, jak se ty jednorázové klíče počítají, tak bych ti teď asi vysvětlil, že se sdíleným heslem to bude mnohem snáze prolomitelné, protože máš v těch rovnicích o jednu neznámou méně.

Hello world ! Segmentation fault (core dumped)

26.2.2011 17:56 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Mnohem snáze je stále příliš obtížné. Obvykle se používá něco na způsob Diffie-Helmanna. Dokonce existuje rozšíření do TLS, kde klient zná otevřené heslo a server zná pouze jeho „otisk“ a přesto se dokáží obě strany vzájemně autentizovat.

24.2.2011 13:24 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Odpovědět | Sbalit | Link | Blokovat | Admin

Prosil bych v odkazovanem clanku nahradit MD5 a 3DES necim na urovni roku 2011.

24.2.2011 13:56 Petr Bravenec | skóre: 43 | blog: Bravenec
Rozbalit Rozbalit vše Re: IPsec přes IPv6... aneb VPN tam, kde žádnou nepotřebujete

Petr Bravenec - Hobrasoft s.r.o.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje