⇤ ← Версия 1 от 2014-05-23 10:30:18
2649
Комментарий:
|
3742
|
Удаления помечены так. | Добавления помечены так. |
Строка 12: | Строка 12: |
* Не имеет механизма аутентификации ⇒ используется пара L2TP + IPSec ESP Transport | |
Строка 16: | Строка 17: |
IKE … |
См. предыдущую лекцию. ==== Ключи и обмен ими ==== * Аутентификация в IPSec использует [[WikiPedia:Hash-based_message_authentication_code|HMAC]] (''симметричное'' шифрование) ⇒ нужен т. н. [[WikiPedia:Shared_secret|shared secret]]. * IPSec «поддерживает любые механизмы аутентификации» ⇒ сложный протокол [[WikiPedia:Internet_key_exchange|IKE]] для устаноления т. н. [[WikiPedia:Security_association|security association (SA)]] (используемого набора механизмов шифрования и аутентификации). * Привет и спасибо [[RW:Протокол_Диффи_—_Хеллмана|Диффи и Хеллману]] :) * pre-shared secrets * [[RFC:4025|IPSECKEY DNS]] * [[WikiPedia:Kerberized_Internet_Negotiation_of_Keys|KINK]] * … |
МЭ на прикладном уровне, а также что не попало в лекции
Туннеллирование (продолжение)
Протоколы туннелирования: тысячи их
L2TP
Основной RFC — 2661. Базовая статья — Layer_2_Tunneling_Protocol
- Развитие PPTP:
- Предназначен для туннелирования PPP через «любую» среду передачи данных (UDP, IP, ATM, Frame Relay, …)
- Разделяются понятия «туннель» и «сеанс внутри туннеля»
- Управляющий протокол создания туннеля и установления сеанса надёжен, а надёжность данных не гарантируется
- Поддерживаются «входящие звонки», «исходящие звонки», простой туннель и даже какой-то «multihop»
- Не имеет механизма аутентификации ⇒ используется пара L2TP + IPSec ESP Transport
Пример простого L2TP-туннеля с помощью iproute2: ip l2tp (без задействования управляющего протокола) Управляющий протокол реализуется специальным демоном (вариантов много)
IPSec
См. предыдущую лекцию.
Ключи и обмен ими
Аутентификация в IPSec использует HMAC (симметричное шифрование) ⇒ нужен т. н. shared secret.
IPSec «поддерживает любые механизмы аутентификации» ⇒ сложный протокол IKE для устаноления т. н. security association (SA) (используемого набора механизмов шифрования и аутентификации).
Привет и спасибо Диффи и Хеллману
- pre-shared secrets
- …
МЭ на прикладном уровне
Проблема: многообразие протоколов.
Общие задачи:
- Контентная фильтрация/ограничение
- Антиспам/Антивирус
- l7filter
- …
- Ретрансляция (возможно, с изменением полей прикладного протокола)
- «Классический» прокси (например, squid)
- FTP
- TLS и разное жульничество с ним
- …
Не вошло
- Эффективные сетевые подсистемы (netgraph, netmap, …)
- Взаимодействие с packer processors (для большой загрузки)
- Высокоуровневые МЭ: shorewall
- Проксирование и иная ретрансляция
- Антиспам/антивирус/скоринг контента
- Подсчёт статистики
- …