|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Andrey Sokolov 2:5020/1057.100 08 Jul 2002 16:25:38
To : 3APA3A
Subject : UDP (SNMP) encrypt/tunnel
--------------------------------------------------------------------------------
DP>>> подскажите, чем бы зашифровать UDP (конкретно - SNMPv1) или
DP>>> затуннелировать его в TCP ? (чем шифровать TCP - очевидно).
AS>> SSL?
AA> SSL реализуется на прикладном уровне. Если приложение не поддерживает
AA> SSL, но поддерживает прокси, то можно поставить SSL-прокси. Можно
AA> организовать прозрачный прокси. Hо только зачем?
Hе знаю. Человек же не сказал зачем ему всё это нужно :)
AS>> Я недавно столкнулся с подобной проблемой и "очевидного"
AS>> решения не нашёл.
AA> Видимо у тебя все-таки была другая проблема, связанная с
AA> программированием, а не с администрированием.
Вобщем, да :) Мне надо было решить проблему авторизации владельцев IP и MAC
адресов внутри локальных сабнетов.
DP>>> желательно чтобы существовал порт программы под winXX и маппинг
DP>>> портов с адресами (для захода и выхода в/из интранет через NAT).
DP>>> поглядел tyt сниффером на этот SNMP - весьма погано :-(
AS>> Хм. Вариант тут только один.
AA> Вариантов полно.
Хотелось бы узнать об этом поподробнее :) Полагаю, что мой кругозор в этом
отношении достаточно узок... Хочу его расширить :)
AS>> Хватать драйвером ядра вызовы на соотв. address/udp_port
AS>> (аналогичным образом работает популярная программа SocksCAP),
AS>> далее пропускать их через свой канал связи
AA> Мало что от этого поменяется, шифрование в SOCKS5 применяется только
AA> при использовании GSSAPI (Kerberos) для авторизации, что на практике
AA> применяется достаточно редко, да и толку никакого, потому как
AA> непонятно причем тут SOCKS - куда ты SOCKS сервер поставишь?
Я говорил не о SOCKS, а о перехвате системных вызовов и о перенаправлении их
в туннели. Программа SocksCap тут фигурирует как пример реализации данного
подхода.
AS>> О том как это реализовать я ничего не скажу, могу лишь
AS>> отправить к книге "Hедокументированные возможности Windows 2000"
AS>> Свена
AA> Лучше почитать про вполне документированную поддержку IPSec и PPTP.
AA> IPSec поддерживается многими аппаратными устройствами, PPTP с
AA> шифрованием - редко. Есть еще L2TP, тоже много где поддерживается, но
AA> тоже без шифрования. Microsoft для организации туннеля рекомендует
AA> использовать L2TP + IPSec. Hо в данном случае туннель не нужен,
AA> достаточно просто использовать IPSec.
AA> Win2K/XP поддерживает IPSec изначально, с Cisco работает.
Hу, вобщем, да, слоты IPSec и прочие средства призваны рюхать подобного рода
вопросы.
Однако (видимо) речь идёт о поддержке приложений, изначально не имеющих
совместимости/поддержки этих средств.
И здесь только перехват->перенаправление. Имхо.
AA> Под остальные системы есть разработки, но преимущественно за деньги
AA> (из российских у Jet Infosystems, Элвис+, в основном для организации
AA> VPN, про совместимость с той же Cisco ничего сказать не могу).
Ага, ну Элвис Плюс находится в моём городке территориально и я, вобщем-то,
кое-что знаю о программно-аппаратных комплексах VPN.
VPN'ы такого рода решают гораздо больший комплекс проблем, нежели просто
крипто-туннелирование отдельных потоков траффика, да и стоят эти комплексы
весьма приличных денег. Могу привести реальную статистику, динамику и проч. :)
Если интересует :)
AS>> ps: Боюсь показаться пошлым, но SNMP -- это зло.
AA> Пока у тебя полтора маршрутизатора - да... А когда у тебя их хотя бы
AA> два, и нужно проверять чтобы юзер не входил на оба одновременно +
AA> сшибать его автоматом в определнных ситуациях - то куда ж ты от SNMP
AA> денешься..
Если честно, то у меня около сорока маршрутизаторов... :))
Andrey
---
* Origin: underlings (2:5020/1057.100)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
