> >Zoltan Herczeg wrote: > > > > > Intr-adevar implementarea Microsoft a avut cateva scapari in anii > > '90 pe vremea lui NT4. Daca tin bine minte, ele au fost corectate in NT4SP4. > > Design-ul lui PPTP (Microsoft sau nu) are si el o slabiciune, lipsa > > autentificarii masinilor server si client (se face doar > > autentificarea user-ului). Cine doreste si autentificare de masina, > > va trebui sa foloseasca L2TP, care foloseste IpSec pt criptare. > > Atentie sa nu cadeti in cealalta parte a calului si sa folositi > > IpSec pur, intr-un scenariu care implica useri, fiindca IpSec nu ofera autentificarea user-ilor. > > Fiecare din cele trei metode de tunelare de mai sus este buna la > > anumite scenarii, important este sa stim care sunt amenintarile > > pentru a alege varianta potrivita.
General vorbind, in cazul retelelor virtual private, riscul care trebuia adresat era confidentialitatea datelor. Restul sunt vorbe. Nevoia care trebuia satisfacuta era nevoia de remote access, as easy, as manageable, as secure as possible (la deziderate s-a stat intotdeauna bine :) ). In ceea ce priveste autentificarea user/host, ambele pot fi facute si intr-o configuratie IPSEC traditional, in general via block/allow 500 UDP (trivializez aici, desigur :) ) pentru host auth, si via XAUTH pentru user auth (in vreun RADIUS, LDAP, whatever). IKE stiind el in mod nativ despre x.509, cred ca se poate nuanta si vorbi despre autentificare/autorizare chiar la nivelul asta. E perfect adevarat si faptul ca, odata SA-urile stabilite, nu exista vreun mod IPSEC-related prin care sa validezi cine trimite pachetele alea pe tunel (latinum vulgaris, daca Gigi care e autorizat sa ridice tunelul se autentifica si-l ridica, iar apoi primeste o bata-n cap si preia controlul Tache, nu exista vreun mod crestinesc de a preveni acest lucru). Pe de alta parte, implementarile VPN real-world sunt arareori standalone, de cele mai multe ori gasim o implementare VPN dublata de o implementare firewall (ca vorbim aici de open source world sau despre commercial world, e totuna) si de o metoda de autentificare/autorizare. Oricum, asa cum a spus si Zoli, e de evitat PPTP (care e mai mult un tunneling way of doing things, decat un secure way of doing things). Prin 'tunneling' intelege fiecare ce poate :) My 2 cents, //ionut _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
