Vtun VS IPSEC: вопросы безопасности туннеля
Добавлено: 2009-02-24 22:47:58
Господа,
много читал гугл и думол. читал хендбук, читал опеннет.ру и другие источники и конечно же сей замечательный сайт...
Рассматривается вопрос надежности шифрования и туннелирование трафика на FREEBSD с помощью Vtund для применения в качестве основного средства связывания удаленных офисов через Public Internet в распределенной корпоративной сети с общими сетевыми инфраструктурными сервисами (i.e.p. AD DNS WINS SQUID SAP/R3) по сравнению с IPSEC.
на мой взгляд конфиги туннелей ipsec (даже если брать с PSK, без сертификатов) совершенно монстроидальные.
в этом смысле vtund очень сильно выигрывает. хотя конечно это просто сервис и его поддержка не компилится в ядро.
аутентификация и криптование трафика в туннеле заявлено разработчиками (кстати наши соотечественники):
Challenge based authentication.
No clear text passwords.
BlowFish 128 bits key.
Fast efficient encryption with 128 bits MD5 hash keys.
а так же есть компрессия трафика что бывает полезно при необходимости.
работает в режиме клиент-сервер, сервер одновременно может быть и клиентом, т.е топология может быть не только звезда, что не очень оптимально, а mesh.
да, так вот... Хотелось бы понять, стали бы Вы доверять этой софтине свои "драгоценные" данные? какие минусы есть?
компы сейчас мощные поэтому с нагрузкой справятся.
и еще:
есть в сети IP телефония и видеоконференц связь при условии что каналы стабильные и достаточной ширины и небольшой загрузки не будет ли проблем в качестве связи при условии применения vtun по сравнению c IPSEC? приоритезацию трафика внутри тоннеля и локалки можно делать средствами PF ALTQ насколько я понимаю...
Спасибо, буду рад выслушать мнения знающих людей.
много читал гугл и думол. читал хендбук, читал опеннет.ру и другие источники и конечно же сей замечательный сайт...
Рассматривается вопрос надежности шифрования и туннелирование трафика на FREEBSD с помощью Vtund для применения в качестве основного средства связывания удаленных офисов через Public Internet в распределенной корпоративной сети с общими сетевыми инфраструктурными сервисами (i.e.p. AD DNS WINS SQUID SAP/R3) по сравнению с IPSEC.
на мой взгляд конфиги туннелей ipsec (даже если брать с PSK, без сертификатов) совершенно монстроидальные.
в этом смысле vtund очень сильно выигрывает. хотя конечно это просто сервис и его поддержка не компилится в ядро.
аутентификация и криптование трафика в туннеле заявлено разработчиками (кстати наши соотечественники):
Challenge based authentication.
No clear text passwords.
BlowFish 128 bits key.
Fast efficient encryption with 128 bits MD5 hash keys.
а так же есть компрессия трафика что бывает полезно при необходимости.
работает в режиме клиент-сервер, сервер одновременно может быть и клиентом, т.е топология может быть не только звезда, что не очень оптимально, а mesh.
да, так вот... Хотелось бы понять, стали бы Вы доверять этой софтине свои "драгоценные" данные? какие минусы есть?
компы сейчас мощные поэтому с нагрузкой справятся.
и еще:
есть в сети IP телефония и видеоконференц связь при условии что каналы стабильные и достаточной ширины и небольшой загрузки не будет ли проблем в качестве связи при условии применения vtun по сравнению c IPSEC? приоритезацию трафика внутри тоннеля и локалки можно делать средствами PF ALTQ насколько я понимаю...
Спасибо, буду рад выслушать мнения знающих людей.
посему используем парк незадействованных серверов для создания распределенной сети. На ASA цыску 7-15 килобаксов никто не даст!!! кстати на цыске именно IPSEC. хотя с другой стороны, если мне не изменяет память PIXы это были обычные PCшки... ну да, модуль аппаратного шифрования можно было установить, для разгрузки процессора.