Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Работа ipsec на нестандартных портах
17 views
Skip to first unread message
Vladimir Bobarykin
Jul 4, 2017, 8:45:00 AM7/4/17
to
Здpавствуй, All!
Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на любых других
портах (как, например в опенсванах и прочих юниксовых ipsec-тулзах - порты для
каждого тоннеля можно указывать отдельно и любые)? Если можно, то как? :)
С уважением - Vladimir
... Пpодаётся стpуйный сканеp.
Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на любых других
портах (как, например в опенсванах и прочих юниксовых ipsec-тулзах - порты для
каждого тоннеля можно указывать отдельно и любые)? Если можно, то как? :)
С уважением - Vladimir
... Пpодаётся стpуйный сканеp.
Alexey Vissarionov
Jul 4, 2017, 10:35:00 AM7/4/17
to
Доброго времени суток, Vladimir!
04 Jul 2017 15:35:22, ты -> All:
VB> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на
VB> любых других портах (как, например в опенсванах и прочих юниксовых
VB> ipsec-тулзах - порты для каждого тоннеля можно указывать отдельно
VB> и любые)? Если можно, то как? :)
Хм... А зачем?
Несколько тоннелей на одной железяке поднять? Это вряд ли получится.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Работа - как паровоз: чем больше свистим, тем меньше едем
04 Jul 2017 15:35:22, ты -> All:
VB> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на
VB> любых других портах (как, например в опенсванах и прочих юниксовых
VB> ipsec-тулзах - порты для каждого тоннеля можно указывать отдельно
VB> и любые)? Если можно, то как? :)
Хм... А зачем?
Несколько тоннелей на одной железяке поднять? Это вряд ли получится.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Работа - как паровоз: чем больше свистим, тем меньше едем
Vladimir Bobarykin
Jul 4, 2017, 9:05:00 PM7/4/17
to
Здpавствуй, Alexey!
Вторник 04 Июля 2017 17:24, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595ba54c:
VB>> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на
VB>> любых других портах (как, например в опенсванах и прочих
VB>> юниксовых ipsec-тулзах - порты для каждого тоннеля можно
VB>> указывать отдельно и любые)? Если можно, то как? :)
AV> Хм... А зачем?
От блокировки этих портов, и при невозможности их использовать :(
Столкнулся тут, репу чешу теперь... Юниксовые софт норм переключаются, на
вручную выставленный порт, а на циске чего-то я ступор впал :)
С уважением - Vladimir
... Чем лучше узнаю людей, тем больше мне нpавятся оpки...
Вторник 04 Июля 2017 17:24, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595ba54c:
VB>> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а на
VB>> любых других портах (как, например в опенсванах и прочих
VB>> указывать отдельно и любые)? Если можно, то как? :)
AV> Хм... А зачем?
От блокировки этих портов, и при невозможности их использовать :(
Столкнулся тут, репу чешу теперь... Юниксовые софт норм переключаются, на
вручную выставленный порт, а на циске чего-то я ступор впал :)
С уважением - Vladimir
... Чем лучше узнаю людей, тем больше мне нpавятся оpки...
Alexey Vissarionov
Jul 5, 2017, 2:55:00 AM7/5/17
to
Доброго времени суток, Vladimir!
05 Jul 2017 03:58:36, ты -> мне:
VB>>> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а
VB>>> на любых других портах (как, например в опенсванах и прочих
Неужели проклятый Роскомпозор дотянулся?
VB> Столкнулся тут, репу чешу теперь... Юниксовые софт норм
VB> переключаются, на вручную выставленный порт, а на циске чего-то
VB> я ступор впал :)
Если внутри тоннеля планируется передавать что-то хотя бы важное (я даже не
говорю про критичное) - увы: эхотаги для этого бесполезны.
З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32 оставалось еще
более 10 лет, один мой тогдашний коллега выдал хорошую рекомендацию кому-то из
клиентов (такому же инженеру) - "если ты не гомосек, не используй IPsec" :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Политкорректная замена термина "черная дыра" - "афроотверстие"
05 Jul 2017 03:58:36, ты -> мне:
VB>>> Можно ли в эхотаге настроить работу ipsec не на 500/4500, а
VB>>> юниксовых ipsec-тулзах - порты для каждого тоннеля можно
VB>>> указывать отдельно и любые)? Если можно, то как? :)
AV>> Хм... А зачем?
VB> От блокировки этих портов, и при невозможности их использовать :(
VB>>> указывать отдельно и любые)? Если можно, то как? :)
AV>> Хм... А зачем?
Неужели проклятый Роскомпозор дотянулся?
VB> Столкнулся тут, репу чешу теперь... Юниксовые софт норм
VB> переключаются, на вручную выставленный порт, а на циске чего-то
VB> я ступор впал :)
Если внутри тоннеля планируется передавать что-то хотя бы важное (я даже не
говорю про критичное) - увы: эхотаги для этого бесполезны.
З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32 оставалось еще
более 10 лет, один мой тогдашний коллега выдал хорошую рекомендацию кому-то из
клиентов (такому же инженеру) - "если ты не гомосек, не используй IPsec" :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Jul 5, 2017, 5:34:59 AM7/5/17
to
05 июля 2017, среда, в 08:40 NOVT, Alexey Vissarionov написал(а):
AV> Если внутри тоннеля планируется передавать что-то хотя бы важное (я даже
AV> не
AV> говорю про критичное) - увы: эхотаги для этого бесполезны.
AV> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32 оставалось
AV> еще
AV> более 10 лет, один мой тогдашний коллега выдал хорошую рекомендацию
AV> кому-то из
AV> клиентов (такому же инженеру) - "если ты не гомосек, не используй IPsec"
AV> :-)
Тот коллега был просто неумеха. Hе говоря уже о том, что POODLE и SWEET32
не имеют отношения к IPSEC, который прекрасно подходит для шифрования трафика.
Eugene
--
Устав от радостных пиров,
Hе зная страхов и желаний
AV> Если внутри тоннеля планируется передавать что-то хотя бы важное (я даже
AV> не
AV> говорю про критичное) - увы: эхотаги для этого бесполезны.
AV> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32 оставалось
AV> еще
AV> более 10 лет, один мой тогдашний коллега выдал хорошую рекомендацию
AV> кому-то из
AV> клиентов (такому же инженеру) - "если ты не гомосек, не используй IPsec"
AV> :-)
Тот коллега был просто неумеха. Hе говоря уже о том, что POODLE и SWEET32
не имеют отношения к IPSEC, который прекрасно подходит для шифрования трафика.
Eugene
--
Устав от радостных пиров,
Hе зная страхов и желаний
Alexey Vissarionov
Jul 5, 2017, 5:54:59 AM7/5/17
to
Доброго времени суток, Eugene!
05 Jul 2017 16:15:56, ты -> мне:
AV>> Если внутри тоннеля планируется передавать что-то хотя бы важное (я
AV>> даже не говорю про критичное) - увы: эхотаги для этого бесполезны.
AV>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>> "если ты не гомосек, не используй IPsec" :-)
EG> Тот коллега был просто неумеха.
Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к IPSEC,
EG> который прекрасно подходит для шифрования трафика.
Да ну? Оттуда уже выпилили 3DES-EDE? И добавили хоть один алгоритм, работающий
не в режиме сцепления блоков?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Пусть компутер думает - у него мозги луженые
05 Jul 2017 16:15:56, ты -> мне:
AV>> Если внутри тоннеля планируется передавать что-то хотя бы важное (я
AV>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>> "если ты не гомосек, не используй IPsec" :-)
EG> Тот коллега был просто неумеха.
Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к IPSEC,
EG> который прекрасно подходит для шифрования трафика.
Да ну? Оттуда уже выпилили 3DES-EDE? И добавили хоть один алгоритм, работающий
не в режиме сцепления блоков?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Jul 5, 2017, 7:55:00 AM7/5/17
to
05 июля 2017, среда, в 11:38 NOVT, Alexey Vissarionov написал(а):
AV>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>> "если ты не гомосек, не используй IPsec" :-)
EG>> Тот коллега был просто неумеха.
AV> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
У специалистов по ИБ упор совсем на другие навыки, нежели умение
готовить IPSEC.
EG>> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к IPSEC,
EG>> который прекрасно подходит для шифрования трафика.
AV> Да ну? Оттуда уже выпилили 3DES-EDE?
Дык это каждый сам решает, использовать ли ему 3DES или нет.
И если кто-то 3DES не отключает, то это не проблема IPSEC.
AV> И добавили хоть один алгоритм, работающий не в режиме сцепления блоков?
С добрым утром. RFC 4106 вышел 12 лет назад, а есть и другие.
Eugene
--
Hаучить презирать мещанскую мудрость.
AV>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>> "если ты не гомосек, не используй IPsec" :-)
EG>> Тот коллега был просто неумеха.
У специалистов по ИБ упор совсем на другие навыки, нежели умение
готовить IPSEC.
EG>> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к IPSEC,
EG>> который прекрасно подходит для шифрования трафика.
Дык это каждый сам решает, использовать ли ему 3DES или нет.
И если кто-то 3DES не отключает, то это не проблема IPSEC.
AV> И добавили хоть один алгоритм, работающий не в режиме сцепления блоков?
С добрым утром. RFC 4106 вышел 12 лет назад, а есть и другие.
Eugene
--
Hаучить презирать мещанскую мудрость.
Alexey Vissarionov
Jul 5, 2017, 8:45:00 AM7/5/17
to
Доброго времени суток, Eugene!
05 Jul 2017 18:39:20, ты -> мне:
AV>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>>> "если ты не гомосек, не используй IPsec" :-)
EG>>> Тот коллега был просто неумеха.
AV>> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG> У специалистов по ИБ упор совсем на другие навыки, нежели умение
EG> готовить IPSEC.
Да я, знаешь ли, в курсе... :-)
EG>>> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к
EG>>> IPSEC, который прекрасно подходит для шифрования трафика.
EG> И если кто-то 3DES не отключает, то это не проблема IPSEC.
Мне, конечно, давно не доводилось всерьез крутить хвосты эхотагам, но все же
вспоминается, что отключение этого атавизма было возможно далеко не везде, а
действия по его отключению (не настройке предпочитаемого алгоритма, а именно
полному запрету fallback до DES и его производных) были весьма нетривиальными.
AV>> И добавили хоть один алгоритм, работающий не в режиме сцепления
AV>> блоков?
EG> С добрым утром. RFC 4106
Если говорить про режим счетчика над конечным полем, то лучше вспомнить
RFC-4309.
EG> вышел 12 лет назад,
И где? Модель эхотага и версию софта - в президиум!
EG> а есть и другие.
Ага, есть... например, RFC-2410 :-)
Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают, а
пользуют RFC-3602, как когда-то было описано в популярном мануале.
Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна -
просто потому, что в подавляющем большинстве случаев усеру нужен тоннель, а в
тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Сверхзвуковая реактивная ступа с изменяемой геометрией помела
05 Jul 2017 18:39:20, ты -> мне:
AV>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>>> "если ты не гомосек, не используй IPsec" :-)
EG>>> Тот коллега был просто неумеха.
AV>> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG> готовить IPSEC.
Да я, знаешь ли, в курсе... :-)
EG>>> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к
AV>> Да ну? Оттуда уже выпилили 3DES-EDE?
EG> Дык это каждый сам решает, использовать ли ему 3DES или нет.
EG> И если кто-то 3DES не отключает, то это не проблема IPSEC.
Мне, конечно, давно не доводилось всерьез крутить хвосты эхотагам, но все же
вспоминается, что отключение этого атавизма было возможно далеко не везде, а
действия по его отключению (не настройке предпочитаемого алгоритма, а именно
полному запрету fallback до DES и его производных) были весьма нетривиальными.
AV>> И добавили хоть один алгоритм, работающий не в режиме сцепления
EG> С добрым утром. RFC 4106
Если говорить про режим счетчика над конечным полем, то лучше вспомнить
RFC-4309.
EG> вышел 12 лет назад,
И где? Модель эхотага и версию софта - в президиум!
EG> а есть и другие.
Ага, есть... например, RFC-2410 :-)
Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают, а
пользуют RFC-3602, как когда-то было описано в популярном мануале.
Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна -
просто потому, что в подавляющем большинстве случаев усеру нужен тоннель, а в
тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Vladimir Bobarykin
Jul 5, 2017, 8:45:00 AM7/5/17
to
Здpавствуй, Alexey!
Среда 05 Июля 2017 09:40, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595c8bf6:
AV>>> Хм... А зачем?
VB>> От блокировки этих портов, и при невозможности их использовать :(
AV> Неужели проклятый Роскомпозор дотянулся?
Х.з, провайдер открещивается, говорит не при делах. Для теста поднял линк между
фряхами на ракун-ипсектулс - так же не пашет шифрование, меняю порт с 500 на
501 - работает. ВОт и фиг знает что тут думать, и на кого :(
Hаблюдается такое последние пару месяцев в граничных городах (сначала в
Каланинграде, сейчас Симферополь перестал с теми же симптомами). Еще ~40
городов работают норм.
AV> Если внутри тоннеля планируется передавать что-то хотя бы важное (я
AV> даже не говорю про критичное) - увы: эхотаги для этого бесполезны.
Отключать шифрование не вариант - а опенвпн между серваками держать грустно -
когда по стандарту у нас всё на циске тунелируется :(
С уважением - Vladimir
... Жизнь-цепь, а мелочи в ней - звенья. Все сволочи, и я - не исключенье...
Среда 05 Июля 2017 09:40, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595c8bf6:
AV>>> Хм... А зачем?
VB>> От блокировки этих портов, и при невозможности их использовать :(
Х.з, провайдер открещивается, говорит не при делах. Для теста поднял линк между
фряхами на ракун-ипсектулс - так же не пашет шифрование, меняю порт с 500 на
501 - работает. ВОт и фиг знает что тут думать, и на кого :(
Hаблюдается такое последние пару месяцев в граничных городах (сначала в
Каланинграде, сейчас Симферополь перестал с теми же симптомами). Еще ~40
городов работают норм.
AV> Если внутри тоннеля планируется передавать что-то хотя бы важное (я
AV> даже не говорю про критичное) - увы: эхотаги для этого бесполезны.
Отключать шифрование не вариант - а опенвпн между серваками держать грустно -
когда по стандарту у нас всё на циске тунелируется :(
С уважением - Vladimir
... Жизнь-цепь, а мелочи в ней - звенья. Все сволочи, и я - не исключенье...
Alexey Vissarionov
Jul 5, 2017, 9:15:00 AM7/5/17
to
Доброго времени суток, Vladimir!
05 Jul 2017 15:30:58, ты -> мне:
AV>> Если внутри тоннеля планируется передавать что-то хотя бы важное
AV>> (я даже не говорю про критичное) - увы: эхотаги для этого
AV>> бесполезны.
VB> Отключать шифрование не вариант - а опенвпн между серваками держать
VB> грустно - когда по стандарту у нас всё на циске тунелируется :(
По стандарту - это "традиционно" или "согласно документу"?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Поделись рекурсией своей - и она к тебе не раз еще вернется
05 Jul 2017 15:30:58, ты -> мне:
AV>> Если внутри тоннеля планируется передавать что-то хотя бы важное
AV>> бесполезны.
VB> Отключать шифрование не вариант - а опенвпн между серваками держать
VB> грустно - когда по стандарту у нас всё на циске тунелируется :(
По стандарту - это "традиционно" или "согласно документу"?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Jul 5, 2017, 2:04:59 PM7/5/17
to
05 июля 2017, среда, в 14:10 NOVT, Alexey Vissarionov написал(а):
AV>>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>>>> "если ты не гомосек, не используй IPsec" :-)
EG>>>> Тот коллега был просто неумеха.
AV>>> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG>> У специалистов по ИБ упор совсем на другие навыки, нежели умение
EG>> готовить IPSEC.
AV> Да я, знаешь ли, в курсе... :-)
Так что из "специалист по ИБ" совсем не следует "знал, о чем говорит",
когда речь об IPSEC. И уж точно в подобном случае, когда говорит
совершенно противоположное правде.
EG>>>> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к
EG>>>> IPSEC, который прекрасно подходит для шифрования трафика.
AV>>> Да ну? Оттуда уже выпилили 3DES-EDE?
EG>> Дык это каждый сам решает, использовать ли ему 3DES или нет.
EG>> И если кто-то 3DES не отключает, то это не проблема IPSEC.
AV> Мне, конечно, давно не доводилось всерьез крутить хвосты эхотагам, но все
AV> же
AV> вспоминается, что отключение этого атавизма было возможно далеко не везде,
AV> а
AV> действия по его отключению (не настройке предпочитаемого алгоритма, а
AV> именно
AV> полному запрету fallback до DES и его производных) были весьма
AV> нетривиальными.
Всё ровно наоборот. Hужно явным образом задавать используемый набор алгоритмов
для proposal в crypto policy/transform-set, чтобы оно вообще согласовало
шифрование.
AV>>> И добавили хоть один алгоритм, работающий не в режиме сцепления
AV>>> блоков?
EG>> С добрым утром. RFC 4106
AV> Если говорить про режим счетчика над конечным полем, то лучше вспомнить
AV> RFC-4309.
EG>> вышел 12 лет назад,
AV> И где? Модель эхотага и версию софта - в президиум!
А то, что авторами множества RFC на IPSEC является Cisco Systems
в лице своих сотрудников тебе совсем ничего не говорит?
Hу вот навскидку первое в гугле:
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2065.pdf
EG>> а есть и другие.
AV> Ага, есть... например, RFC-2410 :-)
AV> Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают,
AV> а
AV> пользуют RFC-3602, как когда-то было описано в популярном мануале.
Это опять же не проблема IPSEC.
AV> Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна
AV> -
AV> просто потому, что в подавляющем большинстве случаев усеру нужен тоннель,
AV> а в
AV> тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель.
Проснись и пой - в современном интернете половина юзеров на смартфонах,
которые вполне себе реализуют l2tp over IPSEC transport mode
безо всяких туннелей.
И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
который нынче в каждом андроиде.
Eugene
AV>>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>>>> "если ты не гомосек, не используй IPsec" :-)
EG>>>> Тот коллега был просто неумеха.
AV>>> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG>> У специалистов по ИБ упор совсем на другие навыки, нежели умение
EG>> готовить IPSEC.
Так что из "специалист по ИБ" совсем не следует "знал, о чем говорит",
когда речь об IPSEC. И уж точно в подобном случае, когда говорит
совершенно противоположное правде.
EG>>>> Hе говоря уже о том, что POODLE и SWEET32 не имеют отношения к
EG>>>> IPSEC, который прекрасно подходит для шифрования трафика.
AV>>> Да ну? Оттуда уже выпилили 3DES-EDE?
EG>> Дык это каждый сам решает, использовать ли ему 3DES или нет.
EG>> И если кто-то 3DES не отключает, то это не проблема IPSEC.
AV> же
AV> вспоминается, что отключение этого атавизма было возможно далеко не везде,
AV> а
AV> действия по его отключению (не настройке предпочитаемого алгоритма, а
AV> именно
AV> полному запрету fallback до DES и его производных) были весьма
AV> нетривиальными.
Всё ровно наоборот. Hужно явным образом задавать используемый набор алгоритмов
для proposal в crypto policy/transform-set, чтобы оно вообще согласовало
шифрование.
AV>>> И добавили хоть один алгоритм, работающий не в режиме сцепления
AV>>> блоков?
EG>> С добрым утром. RFC 4106
AV> RFC-4309.
EG>> вышел 12 лет назад,
А то, что авторами множества RFC на IPSEC является Cisco Systems
в лице своих сотрудников тебе совсем ничего не говорит?
Hу вот навскидку первое в гугле:
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2065.pdf
EG>> а есть и другие.
AV> Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают,
AV> а
AV> пользуют RFC-3602, как когда-то было описано в популярном мануале.
Это опять же не проблема IPSEC.
AV> Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна
AV> -
AV> просто потому, что в подавляющем большинстве случаев усеру нужен тоннель,
AV> а в
AV> тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель.
Проснись и пой - в современном интернете половина юзеров на смартфонах,
которые вполне себе реализуют l2tp over IPSEC transport mode
безо всяких туннелей.
И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
который нынче в каждом андроиде.
Eugene
Alexey Vissarionov
Jul 6, 2017, 7:34:59 AM7/6/17
to
Доброго времени суток, Eugene!
06 Jul 2017 00:44:42, ты -> мне:
EG> И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
EG> который нынче в каждом андроиде.
Я "имею против" самого по себе режима сцепления блоков (CBC) и рекомендую
использовать либо обратную связь по шифротексту (CFB), либо хотя бы режимы со
счетчиками (CTR, CNT, GCM), хотя у счетчиков тоже есть свои проблемы.
Что касается алгоритма Rijndael, то стандартом он стал вовсе не из-за своих
качеств, а только потому, что одной веселой заокеанской конторе нужно было
списать уже потраченные миллионы. Впрочем, в данной эхе это уже оффтопик.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Хайло (сущ.): инструмент для руководства горными и земляными работами
06 Jul 2017 00:44:42, ты -> мне:
EG> И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
EG> который нынче в каждом андроиде.
Я "имею против" самого по себе режима сцепления блоков (CBC) и рекомендую
использовать либо обратную связь по шифротексту (CFB), либо хотя бы режимы со
счетчиками (CTR, CNT, GCM), хотя у счетчиков тоже есть свои проблемы.
Что касается алгоритма Rijndael, то стандартом он стал вовсе не из-за своих
качеств, а только потому, что одной веселой заокеанской конторе нужно было
списать уже потраченные миллионы. Впрочем, в данной эхе это уже оффтопик.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Jul 6, 2017, 8:25:00 AM7/6/17
to
06 июля 2017, четверг, в 13:14 NOVT, Alexey Vissarionov написал(а):
EG>> И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
EG>> который нынче в каждом андроиде.
AV> Я "имею против" самого по себе режима сцепления блоков (CBC)
Да это понятно. Hепонятно, что *конкретно* ты имеешь против AES-CBC 256,
кроме теоретических проблем "дня рождения" для коротких ключей.
Eugene
EG>> И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
EG>> который нынче в каждом андроиде.
Да это понятно. Hепонятно, что *конкретно* ты имеешь против AES-CBC 256,
кроме теоретических проблем "дня рождения" для коротких ключей.
Eugene
Vladimir Bobarykin
Jul 6, 2017, 9:25:00 AM7/6/17
to
Здpавствуй, Alexey!
Среда 05 Июля 2017 16:06, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595ce4a0:
VB>> держать грустно - когда по стандарту у нас всё на циске
VB>> тунелируется :(
AV> По стандарту - это "традиционно" или "согласно документу"?
Традиционно :)
Среда 05 Июля 2017 16:06, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595ce4a0:
VB>> держать грустно - когда по стандарту у нас всё на циске
VB>> тунелируется :(
AV> По стандарту - это "традиционно" или "согласно документу"?
Традиционно :)
Alexey Vissarionov
Jul 6, 2017, 10:25:00 AM7/6/17
to
Доброго времени суток, Vladimir!
06 Jul 2017 15:29:06, ты -> мне:
VB>>> по стандарту у нас всё на циске тунелируется :(
Тогда что мешает использовать писюшатину? Любовь к традициям? :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Мое мнение может меняться, но моя правота - непоколебимый факт
06 Jul 2017 15:29:06, ты -> мне:
VB>>> по стандарту у нас всё на циске тунелируется :(
AV>> По стандарту - это "традиционно" или "согласно документу"?
VB> Традиционно :)
Тогда что мешает использовать писюшатину? Любовь к традициям? :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Vladimir Bobarykin
Jul 6, 2017, 1:14:59 PM7/6/17
to
Здpавствуй, Alexey!
Четверг 06 Июля 2017 17:05, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595e45c7:
VB>>>> по стандарту у нас всё на циске тунелируется :(
AV>>> По стандарту - это "традиционно" или "согласно документу"?
VB>> Традиционно :)
AV> Тогда что мешает использовать писюшатину? Любовь к традициям? :-)
Hекрасиво как-то :) Сотня тунелей на циске, и два на сервак перетаскивать.
Hо видимо придётся :(
С уважением - Vladimir
... Посылаю недругам луч любви и всепрощения. Пусть он спалит вас дотла, уроды
Четверг 06 Июля 2017 17:05, ты писал(а) мне, в сообщении по ссылке
area://ru.cisco?msgid=2:5020/545+595e45c7:
VB>>>> по стандарту у нас всё на циске тунелируется :(
AV>>> По стандарту - это "традиционно" или "согласно документу"?
VB>> Традиционно :)
Hекрасиво как-то :) Сотня тунелей на циске, и два на сервак перетаскивать.
Hо видимо придётся :(
С уважением - Vladimir
... Посылаю недругам луч любви и всепрощения. Пусть он спалит вас дотла, уроды
0 new messages