Работа ipsec на нестандартных портах

Eugene Grosbein написал(а) к Alexey Vissarionov в Jul 17 00:44:43 по местному времени:

05 июля 2017, среда, в 14:10 NOVT, Alexey Vissarionov написал(а):

AV>>>>> З.Ы. (Замечу Ышо): во времена, когда до атак POODLE и SWEET32
AV>>>>> оставалось еще более 10 лет, один мой тогдашний коллега выдал
AV>>>>> хорошую рекомендацию кому-то из клиентов (такому же инженеру) -
AV>>>>> "если ты не гомосек, не используй IPsec" :-)
EG>>>> Тот коллега был просто неумеха.
AV>>> Тот коллега был экспертом по ИБ, и знал, о чем говорит.
EG>> У специалистов по ИБ упор совсем на другие навыки, нежели умение
EG>> готовить IPSEC.
AV> Да я, знаешь ли, в курсе... :-)

Так что из "специалист по ИБ" совсем не следует "знал, о чем говорит",
когда речь об IPSEC. И уж точно в подобном случае, когда говорит
совершенно противоположное правде.

EG>>>> Не говоря уже о том, что POODLE и SWEET32 не имеют отношения к
EG>>>> IPSEC, который прекрасно подходит для шифрования трафика.
AV>>> Да ну? Оттуда уже выпилили 3DES-EDE?
EG>> Дык это каждый сам решает, использовать ли ему 3DES или нет.
EG>> И если кто-то 3DES не отключает, то это не проблема IPSEC.

AV> Мне, конечно, давно не доводилось всерьез крутить хвосты эхотагам, но все же
AV> вспоминается, что отключение этого атавизма было возможно далеко не везде, а
AV> действия по его отключению (не настройке предпочитаемого алгоритма, а именно
AV> полному запрету fallback до DES и его производных) были весьма нетривиальными.

Всё ровно наоборот. Нужно явным образом задавать используемый набор алгоритмов
для proposal в crypto policy/transform-set, чтобы оно вообще согласовало шифрование.

AV>>> И добавили хоть один алгоритм, работающий не в режиме сцепления
AV>>> блоков?
EG>> С добрым утром. RFC 4106

AV> Если говорить про режим счетчика над конечным полем, то лучше вспомнить
AV> RFC-4309.

EG>> вышел 12 лет назад,
AV> И где? Модель эхотага и версию софта - в президиум!

А то, что авторами множества RFC на IPSEC является Cisco Systems
в лице своих сотрудников тебе совсем ничего не говорит?

Ну вот навскидку первое в гугле:

http://csrc.nist.gov/groups/STM/cmvp.../140sp2065.pdf

EG>> а есть и другие.
AV> Ага, есть... например, RFC-2410 :-)
AV> Только сетевики-затейники в массе своей даже про RFC-3686 знать не желают, а
AV> пользуют RFC-3602, как когда-то было описано в популярном мануале.

Это опять же не проблема IPSEC.

AV> Точно так же не прижились ни SEED, ни Camellia, ни поделия им. Бернштейна -
AV> просто потому, что в подавляющем большинстве случаев усеру нужен тоннель, а в
AV> тех редких случаях, когда нужен VPN, ему все равно подсовывают тоннель.

Проснись и пой - в современном интернете половина юзеров на смартфонах,
которые вполне себе реализуют l2tp over IPSEC transport mode
безо всяких туннелей.

И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
который нынче в каждом андроиде.

Eugene
--- slrn/1.0.2 (FreeBSD)

Alexey Vissarionov написал(а) к Eugene Grosbein в Jul 17 14:14:14 по местному времени:

Доброго времени суток, Eugene!
06 Jul 2017 00:44:42, ты -> мне:

EG> И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
EG> который нынче в каждом андроиде.

Я "имею против" самого по себе режима сцепления блоков (CBC) и рекомендую использовать либо обратную связь по шифротексту (CFB), либо хотя бы режимы со счетчиками (CTR, CNT, GCM), хотя у счетчиков тоже есть свои проблемы.

Что касается алгоритма Rijndael, то стандартом он стал вовсе не из-за своих качеств, а только потому, что одной веселой заокеанской конторе нужно было списать уже потраченные миллионы. Впрочем, в данной эхе это уже оффтопик.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Хайло (сущ.): инструмент для руководства горными и земляными работами
--- /bin/vi

Eugene Grosbein написал(а) к Alexey Vissarionov в Jul 17 18:56:59 по местному времени:

06 июля 2017, четверг, в 13:14 NOVT, Alexey Vissarionov написал(а):

EG>> И кроме всего прочего непонятно, что ты имеешь против AES-CBC 256,
EG>> который нынче в каждом андроиде.
AV> Я "имею против" самого по себе режима сцепления блоков (CBC)

Да это понятно. Непонятно, что конкретно ты имеешь против AES-CBC 256,
кроме теоретических проблем "дня рождения" для коротких ключей.

Eugene
--- slrn/1.0.2 (FreeBSD)

Vladimir Bobarykin написал(а) к Alexey Vissarionov в Jul 17 15:29:06 по местному времени:

Здpавствуй, Alexey!

Среда 05 Июля 2017 16:06, ты писал(а) мне, в сообщении по ссылке area://ru.cisco?msgid=2:5020/545+595ce4a0:

VB>> держать грустно - когда по стандарту у нас всё на циске
VB>> тунелируется :(
AV> По стандарту - это "традиционно" или "согласно документу"?
Традиционно :)

С уважением - Vladimir
... Жизнь-цепь, а мелочи в ней - звенья. Все сволочи, и я - не исключенье...
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Alexey Vissarionov написал(а) к Vladimir Bobarykin в Jul 17 17:05:00 по местному времени:

Доброго времени суток, Vladimir!
06 Jul 2017 15:29:06, ты -> мне:

VB>>> по стандарту у нас всё на циске тунелируется :(
AV>> По стандарту - это "традиционно" или "согласно документу"?
VB> Традиционно :)

Тогда что мешает использовать писюшатину? Любовь к традициям? :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Мое мнение может меняться, но моя правота - непоколебимый факт
--- /bin/vi

Vladimir Bobarykin написал(а) к Alexey Vissarionov в Jul 17 19:59:34 по местному времени:

Здpавствуй, Alexey!

Четверг 06 Июля 2017 17:05, ты писал(а) мне, в сообщении по ссылке area://ru.cisco?msgid=2:5020/545+595e45c7:

VB>>>> по стандарту у нас всё на циске тунелируется :(
AV>>> По стандарту - это "традиционно" или "согласно документу"?
VB>> Традиционно :)
AV> Тогда что мешает использовать писюшатину? Любовь к традициям? :-)
Некрасиво как-то :) Сотня тунелей на циске, и два на сервак перетаскивать.
Но видимо придётся :(

С уважением - Vladimir
... Посылаю недругам луч любви и всепрощения. Пусть он спалит вас дотла, уроды
--- Озаглавилась весна - топором, успокоилась река - декабрём...