Различия между версиями 1 и 2
Версия 1 от 2014-05-23 10:30:18
Размер: 2649
Редактор: FrBrGeorge
Комментарий:
Версия 2 от 2014-05-23 11:15:56
Размер: 3742
Редактор: FrBrGeorge
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 12: Строка 12:
 * Не имеет механизма аутентификации ⇒ используется пара L2TP + IPSec ESP Transport
Строка 16: Строка 17:
IKE
 См. предыдущую лекцию.

==== Ключи и обмен ими ====
 * Аутентификация в IPSec использует [[WikiPedia:Hash-based_message_authentication_code|HMAC]] (''симметричное'' шифрование) ⇒ нужен т. н. [[WikiPedia:Shared_secret|shared secret]].
 * IPSec «поддерживает любые механизмы аутентификации» ⇒ сложный протокол [[WikiPedia:Internet_key_exchange|IKE]] для устаноления т. н. [[WikiPedia:Security_association|security association (SA)]] (используемого набора механизмов шифрования и аутентификации).
  * Привет и спасибо [[RW:Протокол_Диффи_—_Хеллмана|Диффи и Хеллману]] :)
  * pre-shared secrets
  * [[RFC:4025|IPSECKEY DNS]]
  * [[WikiPedia:Kerberized_Internet_Negotiation_of_Keys|KINK]]
  * …

МЭ на прикладном уровне, а также что не попало в лекции

Туннеллирование (продолжение)

Протоколы туннелирования: тысячи их

L2TP

Основной RFC — 2661. Базовая статья — Layer_2_Tunneling_Protocol

  • Развитие PPTP:
    • Предназначен для туннелирования PPP через «любую» среду передачи данных (UDP, IP, ATM, Frame Relay, …)
  • Разделяются понятия «туннель» и «сеанс внутри туннеля»
  • Управляющий протокол создания туннеля и установления сеанса надёжен, а надёжность данных не гарантируется
  • Поддерживаются «входящие звонки», «исходящие звонки», простой туннель и даже какой-то «multihop»
  • Не имеет механизма аутентификации ⇒ используется пара L2TP + IPSec ESP Transport

Пример простого L2TP-туннеля с помощью iproute2: ip l2tp (без задействования управляющего протокола) Управляющий протокол реализуется специальным демоном (вариантов много)

IPSec

См. предыдущую лекцию.

Ключи и обмен ими

  • Аутентификация в IPSec использует HMAC (симметричное шифрование) ⇒ нужен т. н. shared secret.

  • IPSec «поддерживает любые механизмы аутентификации» ⇒ сложный протокол IKE для устаноления т. н. security association (SA) (используемого набора механизмов шифрования и аутентификации).

МЭ на прикладном уровне

Проблема: многообразие протоколов.

Общие задачи:

  • Контентная фильтрация/ограничение
    • Антиспам/Антивирус
    • l7filter
  • Ретрансляция (возможно, с изменением полей прикладного протокола)
    • «Классический» прокси (например, squid)
    • FTP
    • TLS и разное жульничество с ним

Не вошло

  • Эффективные сетевые подсистемы (netgraph, netmap, …)
  • Взаимодействие с packer processors (для большой загрузки)
  • Высокоуровневые МЭ: shorewall
  • Проксирование и иная ретрансляция
  • Антиспам/антивирус/скоринг контента
  • Подсчёт статистики

LecturesCMC/UnixFirewalls2014/12_ApplicationAndOthers (последним исправлял пользователь FrBrGeorge 2014-05-23 11:31:50)