IPsec a racoon

Dan Lukes dan at obluda.cz
Thu Mar 29 18:22:35 CEST 2007

Previous message: IPsec a racoon
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Martin Zdrazil napsal/wrote, On 03/29/07 17:00:
> Co jsem ale nepochopil je, jak na cele akci participuje port racoon.
> Nikde v tom navodu v handbooku ani neni, ze by se mel nakonec ten daemon
> nastartovat, jen je v tom navodu to, ze se maji do psk.txt nabouchat
> klice a IPcka. K cemu to je, kdyz nakonec ten racoon ani nebezi ?

	IPSEC provadi autentizaci a/nebo sifrovani na zaklade klicu. IPSEC sam 
neresi, odkud se ty klice vezmou - jedine co resi okolo klicoveho 
managementu je to, ze klice expiruje. A je ochoten davat najevo to, ze 
potrebne klice nema k dispozici, pripadne to, ze se blizi doba, kdy je k 
dispozici mit nebude. Tim veskera starost konci.

	No, a pak je zde protokol ISAKMP ( k nemuz existuje napriklad 
stejnojmenny daemon nebo napriklad racoon). A ten zas az tak moc primo 
nesouvisi s IPSECem - jen umi prijimat ony vyse zminene informace (nemam 
klice/nebudu mit klice) a jiz zminenym vlastnim protokolem umi s 
protistranou klice dohodnout - a ty pak IPSECu preda.

	IPSEC tak klidne muze fungovat bez racoona - staci mu dat staticke 
klice s neomezenou trvanlivosti.

	Prokol ISAKMP (napr. daemon racoon) zna nekolik zpusobu jak klice 
sehnat. Zasadnim problemem vzajemne komunkace dvou daemonu je vzajemna 
autentizace. Jeden z nich je "predem sdilene tajemstvi" (pre-shared-key) 
- to je klic (klic nesouvisejici s klicema IPSECu), jehoz vzajemnou 
znalosti si oba racoony dokazou, ze na druhe strane je ten, kdo tam ma 
byt. To je ten klic zadany v psk.txt. Existuji ale i dalsi zpusoby 
autentizace - napriklad asymetrickou kryptografii.

	V kazdem pripade - klice mohou byt staticke a racoon bezet nemusi. Pak 
ale neni k nicemu ani soubor psk.txt

	Nebo IPSEC klice staticke byt nemusi - pak musi bezet nejaky daemon 
(treba racoon), ktery zajistuej jejich vymenu.

	Ciste teoreticky to muze byt i tak, ze racoon nebezi stale - nejak se 
zajisti, aby bezel vzdy v dobe, kdy predchozi klice prestavaji platit, 
zajisti jejich vymenu a pak zase bezet nemusi - realny smysl takove 
konfigurace ale neni jasny.

						Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz

Previous message: IPsec a racoon
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list