3742
Комментарий:
|
4667
|
Удаления помечены так. | Добавления помечены так. |
Строка 27: | Строка 27: |
* Потому (и в процессе) этими ключами надо управлять === OpenVPN === Базовая статья [[WikiPedia:OpenVPN]] * Простая клиент-сервернеая структура * Авторизация по PSK или паролю * Протокол прост в реализации (см. поддерживаемые архитектуры) * Наких RFC не написано * Примеры настройки: [[https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html|простейший]], [[https://openvpn.net/index.php/open-source/documentation/examples.html|ещё]] |
|
Строка 34: | Строка 42: |
* l7filter | * [[http://l7-filter.clearfoundation.com/|l7filter]] (дохленький?) |
Строка 38: | Строка 46: |
* FTP | * FTP (например, [[BSDMan:ftp-proxy]]) |
Строка 43: | Строка 51: |
* Эффективные сетевые подсистемы (netgraph, netmap, …) | * Эффективные сетевые подсистемы ([[http://www.opennet.ru/docs/RUS/netgraph_freebsd/|netgraph]], [[http://info.iet.unipi.it/~luigi/netmap/|netmap]], …) |
Строка 45: | Строка 53: |
* Высокоуровневые МЭ: shorewall | * Высокоуровневые МЭ: [[http://shorewall.net/|shorewall]] |
МЭ на прикладном уровне, а также что не попало в лекции
Туннеллирование (продолжение)
Протоколы туннелирования: тысячи их
L2TP
Основной RFC — 2661. Базовая статья — Layer_2_Tunneling_Protocol
- Развитие PPTP:
- Предназначен для туннелирования PPP через «любую» среду передачи данных (UDP, IP, ATM, Frame Relay, …)
- Разделяются понятия «туннель» и «сеанс внутри туннеля»
- Управляющий протокол создания туннеля и установления сеанса надёжен, а надёжность данных не гарантируется
- Поддерживаются «входящие звонки», «исходящие звонки», простой туннель и даже какой-то «multihop»
- Не имеет механизма аутентификации ⇒ используется пара L2TP + IPSec ESP Transport
Пример простого L2TP-туннеля с помощью iproute2: ip l2tp (без задействования управляющего протокола) Управляющий протокол реализуется специальным демоном (вариантов много)
IPSec
См. предыдущую лекцию.
Ключи и обмен ими
Аутентификация в IPSec использует HMAC (симметричное шифрование) ⇒ нужен т. н. shared secret.
IPSec «поддерживает любые механизмы аутентификации» ⇒ сложный протокол IKE для устаноления т. н. security association (SA) (используемого набора механизмов шифрования и аутентификации).
Привет и спасибо Диффи и Хеллману
- pre-shared secrets
- …
- Потому (и в процессе) этими ключами надо управлять
OpenVPN
Базовая статья OpenVPN
- Простая клиент-сервернеая структура
- Авторизация по PSK или паролю
- Протокол прост в реализации (см. поддерживаемые архитектуры)
- Наких RFC не написано
Примеры настройки: простейший, ещё
МЭ на прикладном уровне
Проблема: многообразие протоколов.
Общие задачи:
- Контентная фильтрация/ограничение
- Антиспам/Антивирус
l7filter (дохленький?)
- …
- Ретрансляция (возможно, с изменением полей прикладного протокола)
- «Классический» прокси (например, squid)
FTP (например, BSDMan:ftp-proxy)
- TLS и разное жульничество с ним
- …