Re: IPsec a racoon

Thu, 29 Mar 2007 08:24:04 -0800 

Martin Zdrazil napsal/wrote, On 03/29/07 17:00:
> Co jsem ale nepochopil je, jak na cele akci participuje port racoon.
> Nikde v tom navodu v handbooku ani neni, ze by se mel nakonec ten daemon
> nastartovat, jen je v tom navodu to, ze se maji do psk.txt nabouchat
> klice a IPcka. K cemu to je, kdyz nakonec ten racoon ani nebezi ?

        IPSEC provadi autentizaci a/nebo sifrovani na zaklade klicu. IPSEC sam 
neresi, odkud se ty klice vezmou - jedine co resi okolo klicoveho 
managementu je to, ze klice expiruje. A je ochoten davat najevo to, ze 
potrebne klice nema k dispozici, pripadne to, ze se blizi doba, kdy je k 
dispozici mit nebude. Tim veskera starost konci.

        No, a pak je zde protokol ISAKMP ( k nemuz existuje napriklad 
stejnojmenny daemon nebo napriklad racoon). A ten zas az tak moc primo 
nesouvisi s IPSECem - jen umi prijimat ony vyse zminene informace (nemam 
klice/nebudu mit klice) a jiz zminenym vlastnim protokolem umi s 
protistranou klice dohodnout - a ty pak IPSECu preda.

        IPSEC tak klidne muze fungovat bez racoona - staci mu dat staticke 
klice s neomezenou trvanlivosti.

        Prokol ISAKMP (napr. daemon racoon) zna nekolik zpusobu jak klice 
sehnat. Zasadnim problemem vzajemne komunkace dvou daemonu je vzajemna 
autentizace. Jeden z nich je "predem sdilene tajemstvi" (pre-shared-key) 
- to je klic (klic nesouvisejici s klicema IPSECu), jehoz vzajemnou 
znalosti si oba racoony dokazou, ze na druhe strane je ten, kdo tam ma 
byt. To je ten klic zadany v psk.txt. Existuji ale i dalsi zpusoby 
autentizace - napriklad asymetrickou kryptografii.

        V kazdem pripade - klice mohou byt staticke a racoon bezet nemusi. Pak 
ale neni k nicemu ani soubor psk.txt

        Nebo IPSEC klice staticke byt nemusi - pak musi bezet nejaky daemon 
(treba racoon), ktery zajistuej jejich vymenu.

        Ciste teoreticky to muze byt i tak, ze racoon nebezi stale - nejak se 
zajisti, aby bezel vzdy v dobe, kdy predchozi klice prestavaji platit, 
zajisti jejich vymenu a pak zase bezet nemusi - realny smysl takove 
konfigurace ale neni jasny.

                                                Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz

-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem