МЭ на прикладном уровне, а также что не попало в лекции

Туннеллирование (продолжение)

Протоколы туннелирования: тысячи их

L2TP

Основной RFC — 2661. Базовая статья — Layer_2_Tunneling_Protocol

• Развитие PPTP:
  • Предназначен для туннелирования PPP через «любую» среду передачи данных (UDP, IP, ATM, Frame Relay, …)

    • ⇒ Очень большой

• Разделяются понятия «туннель» и «сеанс внутри туннеля»
• Управляющий протокол создания туннеля и установления сеанса надёжен, а надёжность данных не гарантируется
• Поддерживаются «входящие звонки», «исходящие звонки», простой туннель и даже какой-то «multihop»
• Не имеет механизма аутентификации ⇒ используется пара L2TP + IPSec ESP Transport

Пример простого L2TP-туннеля с помощью iproute2: ip l2tp (без задействования управляющего протокола) Управляющий протокол реализуется специальным демоном (вариантов много)

IPSec

См. предыдущую лекцию.

Ключи и обмен ими

• Аутентификация в IPSec использует HMAC (симметричное шифрование) ⇒ нужен т. н. shared secret.

• IPSec «поддерживает любые механизмы аутентификации» ⇒ сложный протокол IKE для устаноления т. н. security association (SA) (используемого набора механизмов шифрования и аутентификации).

  • Привет и спасибо Диффи и Хеллману

  • pre-shared secrets

  • IPSECKEY DNS

  • KINK

  • …
• Потому (и в процессе) этими ключами надо управлять

OpenVPN

Базовая статья OpenVPN

• Простая клиент-сервернеая структура
• Авторизация по PSK или паролю
• Протокол прост в реализации (см. поддерживаемые архитектуры)
• Наких RFC не написано

• Примеры настройки: простейший, ещё

МЭ на прикладном уровне

Проблема: многообразие протоколов.

Общие задачи:

• Контентная фильтрация/ограничение
  • Антиспам/Антивирус

  • l7filter (дохленький?)

  • …
• Ретрансляция (возможно, с изменением полей прикладного протокола)
  • «Классический» прокси (например, squid)

  • FTP (например, ftp-proxy)

  • TLS и разное жульничество с ним
  • …

Не вошло

• Эффективные сетевые подсистемы (netgraph, netmap про netmap на Хабре, …)

• Взаимодействие с packer processors (для большой загрузки)

• Высокоуровневые МЭ: shorewall

• Проксирование и иная ретрансляция
• Антиспам/антивирус/скоринг контента
• Подсчёт статистики
• …