|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Alexey Milevsky 2:5020/400 03 Jun 2003 14:04:27
To : Victor Sudakov
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
> <bb6gg2$2mdr$1@mpeks.tomsk.su> <bb7363$jsm$1@host.talk.ru>
> <bb803q$21qm$1@mpeks.tomsk.su> <bbesf5$6db$1@host.talk.ru>
> <bbf9ic$9m7$1@mpeks.tomsk.su> <bbfb0i$2a6$1@host.talk.ru>
> <bbg1q3$1h9n$1@mpeks.tomsk.su> <3EDC52D5.2564@pbank.donetsk.ua>
> <bbhph2$eab$1@mpeks.tomsk.su>
From: Alexey Milevsky <alex@pbank.donetsk.ua>
> >> Hапример, в FreeBSD если
> >> установлена SA, то она работает для всех пакетов, через какой
> >> интерфейс они ни пришли.
> > у меня 2 интерфейса в один дестинейшн - один цифровой (надежный, с
> > большой пропускной способностью и малой задержкой), другой - аналоговый
> > бэкап через ТЧ.
> > вопрос, насколько "гладко" будет работать шифрование поверх и без того
> > "хорошего" канала ТЧ?
>
> А разве будет какая-то разница для плохого канала, есть криптование или нет?
> За счет чего?
разница будет за счет:
0. в случае с ipsec-isakmp - на ненадежном канале установления sa еще
дождаться нужно :)
1. оверхед на заголовки шифрования в зависимости от выбранных опций
esp/ah
2. за счет невольно возникающей фрагментации. напомню, потеря одного
фрагмента вызывает на принимающей системе дроп ВСЕЙ датаграммы и, в
случае тсп, перепосылку оной заново.
3. повторения п.0 через lifetime seconds || lifetime kilobytes
> Гораздо печальнее картина роутера с 30 интерфейсами и все 30 увешаны
> крипто мапами.
скажите, а ip/mask на 30 интерфейсах не печальнее выглядят? :))
и description'ы - печально ведь 30 раз нечто придумывать ;)
а этот замордовавший "encapsulation <тра-та-та>" ?! ;)
и т.д.
вам шашечки или ехать?
> >> Иначе вполне реально не предусмотреть чего-то и
> >> выпустить некриптованный трафик.
> > ... после чего понять, что произошло и поправить конфиг :)
> Hо может уже быть поздно - некриптованные пакеты уйдут в публичную сеть.
если это действительно настолько секурити-критикал - уделите внимание
схеме и конфигурации: само ж оно ничего не сделается, правда?
--
A1ex.
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
