|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 03 Jun 2003 17:39:36
To : Alexey Milevsky
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
Alexey Milevsky <alex@pbank.donetsk.ua> wrote:
>
>> >> Hапример, в FreeBSD если
>> >> установлена SA, то она работает для всех пакетов, через какой
>> >> интерфейс они ни пришли.
>> > у меня 2 интерфейса в один дестинейшн - один цифровой (надежный, с
>> > большой пропускной способностью и малой задержкой), другой - аналоговый
>> > бэкап через ТЧ.
>> > вопрос, насколько "гладко" будет работать шифрование поверх и без того
>> > "хорошего" канала ТЧ?
>>
>> А разве будет какая-то разница для плохого канала, есть криптование или нет?
>> За счет чего?
> разница будет за счет:
> 0. в случае с ipsec-isakmp - на ненадежном канале установления sa еще
> дождаться нужно :)
> 1. оверхед на заголовки шифрования в зависимости от выбранных опций
> esp/ah
> 2. за счет невольно возникающей фрагментации. напомню, потеря одного
> фрагмента вызывает на принимающей системе дроп ВСЕЙ датаграммы и, в
> случае тсп, перепосылку оной заново.
Убедил.
> 3. повторения п.0 через lifetime seconds || lifetime kilobytes
>
>> Гораздо печальнее картина роутера с 30 интерфейсами и все 30 увешаны
>> крипто мапами.
> скажите, а ip/mask на 30 интерфейсах не печальнее выглядят? :))
Очень печально они выглядят на самом деле. IPX в этом смысле гораздо
правильнее был. Хотя вроде в IPv6 сделаны некоторые шаги в правильном
направлении.
А еще был такой DECnet, где адрес присваивался хосту в целом, а не его
интерфейсам.
> и description'ы - печально ведь 30 раз нечто придумывать ;)
> а этот замордовавший "encapsulation <тра-та-та>" ?! ;)
> и т.д.
> вам шашечки или ехать?
>
>> >> Иначе вполне реально не предусмотреть чего-то и
>> >> выпустить некриптованный трафик.
>> > ... после чего понять, что произошло и поправить конфиг :)
>> Hо может уже быть поздно - некриптованные пакеты уйдут в публичную сеть.
> если это действительно настолько секурити-критикал - уделите внимание
> схеме и конфигурации: само ж оно ничего не сделается, правда?
Оно конечно так.
Спасибо за содержательную и поучительную беседу :)
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/149@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
