Haide sega pak po sushtestvo. Vizhdam, che obichash da pishesh s malko dumi mnogo gluposti.
Ideiata na AH ochevidno ne si ia shvanal. Vupros na intelekt. Pri tolkova obiasneniia i tolkova literatura po temata v Internet e niakak si nechoveshko da ne razberesh elementarni printsip. Mnogo me kefi obache kakvi zadachi si mi dal za domashno:) Ot tiah strui prostotiia, koiato niama ravna na sebe si i samochuvstvie na selski ergen ot gradski tip. No ponezhe obichash konkretni neshta, eto konkretno opisanie na prostotiiata ti (men bi me bilo sram da pisha gluposti, no na teb ti e navik):
"gasi distributirani DoS ataki (DDoS)... Takova neshto v OpenVPN niama" Taka li ? --tls-auth file [direction] za domashno
Bih vuzkliknal "Bozhe, ela i si go priberi". Ti ochevidno ne znaesh kakvo e TLS. Moga smelo da go kazha. Kak TLS spira DDoS ataki sme lyubopitni da chuem. Q ni osvetli po vuprosa. Mozhe bi shte ni kazhesh i kakvo e izobshto DDoS i kak tova neshto izobshto se vruzva s TLS. To biva prostotiia, ama a vzemi se spri. Tolkova kreteniia ne se e izlivala tuk ot kak Veni Markovski spria da se pravi na internet ekspert v tozi portal.
TLS e modifikatsiia na SSL protokola za vgrazhdane na nivo protokol na prilozhenie. Ti izobshto kakvo chetesh i ot kude chetesh i izobshto chetesh li dori rukovodstvoto na OpenVPN i kakvo pishe tam? Naiasno li si s osnovni poniatiia za protokoli? S kakvo samochuvstvie idvash da sporish ili preporuchvash resheniia? Izvestno li ti e, che AH raboti na nivo "hedur na IP paket", a TLS raboti na nivo prilozhenie i to SLED kato ima rukostiskane m/u klienta i survura v ramkite na protokola na prilozhenieto?
Spetsialno za da ti suzdam diskomfort shte opisha kak AH se spravia s DDoS ataki i da se vidi iasno kak ti ne samo ne znaesh, no i se napuvash da pishesh gluposti.
Taka. Kogato bude izvurshena detektsiia na DDoS ataka ima dva varianta da budat ogranicheni porazheniiata. Pri purviia variant prosto se spira atakuvanata usluga, dokato atakata ne "ugasne" ot samosebe si. Pri vtoriiat se izvurshva topologichno "gasene" na atakata i se propuskat samo paketi ot dostoverni iztochnitsi. Tochno tuk vliza v upotreba AH. Mozhe da se napravi takava nastroika, che da se propuskat paketi samo ot hostove, koito imat udostoveren hedur na paketa. Taka ne e nuzhno da se pravi lista za dostupa kum uslugata po IP adresi. Shemata osiguriava svobodata vseki udostoveren host da se svurzhe dori v usloviia na ataka s mashinata i da izpolzva uslugata. Po-tozi nachin uslugata ostava dostupna samo za udostoverenite hostove i vsichki drugi prosto ne mogat da realizirat sesiia ili izobshto vruzka kum neia.
Pri TLS ti udostoveriavash klienta, sled kato toi e vliazal v protokola na uslugata!!! Tova kvadratnata glava razbira li ti go? Nali tselta e pri DDoS atakuvashtiiat host izobshto da ne mozhe da stigne do porta, na koito tia e dostupna. I chak sled tova s komanda se preminava v SSL rezhim. Tochno tova e ideologiiata na TLS - da ne se definira nov port za SSL baziranata usluga, a da se polzva ne-SSL bazirniia i port i prez nego da se osushtestviava kriptiran kanal sled obmen na komandi za tselta. Tezi neshta ti niakoga osuznaval li si gi? Osmislial li si gi? Kakvo obshto ima tova s AH i s mehanizum za zashtita ot DDoS ataka? I imash selskata naglost da mi davash takiva neshta za domashni? CHe ti si tolkova gol i bos po tazi tema, che e smeshno dori da se obazhdash.
Drugoto domashno. Ochevidno si nagul idiot. Gledai sega momche s kvadratna glava. Optsiiata
--crl-verify crl proveriava validnost na sertifikata spriamo VECHE NALICHEN NA MASHINATA TI spisuk s otmeneni sertifikati. Tova NE E dinamichna proverka za validnost. Vseki CRL e fail, koito ti periodichno teglish na mashinata si ot saita na suotvetniia udostoveritel, sertifikati na klientite na koito shte udostoveriavash. Tezi neshta sa ti mnogo mnogo dalech. Seshtash li se, che mezhdu dva momenta ot vreme, ti polzvash aktualen sus zadna data CRL spisuk. Dokato ti go polzvash, udostoveriteliat mozhe da e otmenil sertifikat i sustavil nov CRL list, no ponezhe ti ne si go izteglil, niama da znaesh che ima i oshte otmeneni sertifikati. Predstavi si i kakvo stava, ako udostoveriteliat e razbral, che nechii chasten klyuch e razkrit i e otmenil daden sertifikat, no ponezhe ti ne si aktualizirash ezhesekundno CRL faila, ne znaesh, che tova e taka. Prosto shte pusnesh v sistemata si komprimetiran potrebitel. Spored men ne si naiasno izobshto kakvo e CRL i kak se protsedira pri obnoviavane. Siguren sum, che ne znaesh i che vseki CRL se validira, zashtoto e elektronno podpisan ot izdatelia si. Mnogo mnogo si mi dalech ot tezi neshta. Kogato gi nauchish zadavai domashni.
Kogato imash LDAP proverka na CRL, ti mozhesh s LDAP klient prez TLS (eh tozi TLS, samo imeto mu znaesh), da se svurzvash s LDAP replika na udostoveritelia i da chetesh vinagi aktualniia spisuk s otmeneni sertifikati. Mozhe da kombinirash LDAP s lokalen CRL list, ako sluchaino niamash vruzka do LDAP replikata na udostoveritelia.
Za OCSP e smeshno da obiasniavam na takiva kato teb. No ponezhe iskam da ti e gadno, shte ti obiasnia kakvo e tova chudo (mozhe da stane chudo i da go razberesh). Svetovnata internet obshtnost (a ne klub po TNTM, sustaven ot intravertni idioti), e rarabotil protokol za proverka na validnostta na X.509 sertifikati v realno vreme. Tozi protokol se naricha OCSP - Online Certificate Status Protocol. Eto i pulnoto mu opisanie:
http://www.faqs.org/rfcs/rfc2560.html
Pri dobre napravenite (a ne pruchkovidni) resheniia za IPsec, ima izgraden OCSP klient, koito proveriava validnostta na vseki X.509 sertifikat, kato izpolzva OCSP protokola (TCP baziran) za da se svurzhe s OCSP survura na suotvetniia dostavchik na udostoveritelni uslugi i da proveri validnostta na sertifikata.
SHTo se kasae do rechnika. IPsec i sigurnite uslugi ne iskat rechnik - iskat znaniia. E tochno tezi znaniia ti gi niamash.
|