*********
"NAT traversal" e naistina neshto novo za men, no ne i po sveta. Kogato chetoh za IPSec, niamashe nishto takova.
*********
Tazi krilata misul (v neia nama nikakva misul, no ne biva v direkten stil da ti se zaiaviava, che si prostak), shte si ia zapishem niakude. Ti da ne bi da si zhurnalist? Vse si misleh, che shte prochetesh traversal kato travestit i taka shte go napishesh, no iavno kopiraneto na tekst te e spasilo:)
Kakvo da ti kazha... V teb ima tolkova dopubertetna frustratsiia, takova zhelanie da pokazhesh detinskata si idiotiia, che se chudia kak izobshto zhiveesh v mir sus sebe si.
Ima edin stil na lozungi, koito beshe harakteren za minaloto, no poniakoga zvuchi dosta suvremenno:
"IPv6 - vrag na vseki polu i pulen idiot"
Ima i oshte edin. Mnogo priliaga v tvoia sluchai:
"Na borba s e-idiotite".
I ne se bezpokoi za studentite i za tova, koeto misliat te za men. Mozhesh spokoino da gi popitash za tova, koeto iskash da razberesh. Ne mislia, che shte ostanesh dosta razocharovan ot tova, kolko si zabluden.
Vseki poluidiot bi razbral po sushtestvo obiasnenata ot men (samo printsipno) NAT traversal shema. Napisanoto ot men si e napulno po sushtestvo. V NAT traversal ne se izpolzva AH. Drugiiat podprotokol na IPsec, koito se naricha ESP obache raboti. Tolkova li e trudno da se razbere? Prosto v tozi moment (kogato AH prestane da se izpolzva, za da se preminava prez NAT), veche niama klasicheskata IPsec shema, v koiato se udostoveriava iztochnika na paketa, a samo se kriptira i udostoveriava sudurzhanieto. Mislia si, che ako go obiasnia na niakoia prodavachka na tsvetno belьo s murgav ten na ZHenskiia pazar, tia shte otkrie razlikata i smisula. Kakvo li ostava za hora s pretentsii, a?
Osven tova, haide da budem velikodushni kum takiva zhiteiski drami kato tvoiata, IPsec e protokol, koito mozhe da "gasi" distributirani DoS ataki (DDoS). Tazi mu funktsiia e izpolzvaema samo, ako se izpolzva protokola AH. Takova neshto v OpenVPN niama, zashtoto toi ne se grizhi za proverka na iztochnika, a samo za proverka na identichnostta na tozi, koito e podpisal paketa. Ako i tova ne ti zvuchi po sushtestvo, shte osnoven fond za lechenieto ti.
Samiiat IPsec pozvoliava da se gradiat "dostoverni mrezhi". V tiah izobshto ne e zadulzhitelno za se kriptira trafika i da se tunelirat sloeve (vupreki, che mozhe). TSialata tazi ideia e zalegnala v povecheto voenni i bankovi mrezhi. Tova neshto OpenVPN ne go mozhe. Pribaviam oshte 50 leva v lechitelskiia ti fond, ako ne uspeesh da osmislish tova.
Modernite IPsec prilozheniia imat na niva po-dobra validatsiia na X.509 sertifikatite ot tazi v OpenVPN. V IPsec imash pulna LDAP integratsiia otnosno proverka v CRL listi za otmeneni sertifikati. Imash i OCSP klient, zalozhesh veche kato defakto standart. Tova v OpenVPN go niamash. Ako si glupak, shte kazhesh "ama za kakvo mi e tova". Otgovor na tup vupros po printsip ne se dava.
Oshte po sushtestvo. IPsec e integralna chast ot Linux iadra 2.6. OpenVPN e prilozhenie. Integratsiiata na IPsec v iadrata e dalech po-optimalna kato natovarvane i e integrirana v IP steka. IPsec mozhe da izpolzva direktno modulnite realizatsii na kriptografskite i hesh algoritmite v samoto iadro. Tova e optimalno kato natovarvane. Oshte 50 leva pribaviam za lechenieto ti.
Ti, kato vseki samouveren glupak, shte si kazhesh i kakvo ot tova. Ako ne uspeesh da osmislish tezi neshta i ne vidish sushtestvenoto v tiah, slagai samun hliab v torbata, obuvai gumenite tsurvuli, naramvai motikata i zapochvai da se zanimavash s po-prisushta za teb deinost.
|