Re: IPsec vragen
On Sat, Oct 15, 2016 at 05:23:35PM +0200, Paul van der Vlis wrote:
> Hoi,
>
> Voor VPN's gebruik ik tegenwoordig OpenVPN,
Zoals elk verstandig mens :-)
> maar nu is er iemand die graag IPsec wil.
Waarom?
> De VPN zou moeten lopen tussen een Debian server en een "Watchguard Firewall
> XTM 330". Komt daar veel bij kijken?
Vrees van wel.
> Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar SSL.
> Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel graag
> van iemand willen horen of zo'n IPsec verbinding lastig is.
Het probleem met IPsec is dat dat een framework is voor beveiliging van
IP-verkeer, niet noodzakelijk een VPN-oplossing.
Je kan IPsec in tunneling mode draaien (en dan heb je iets wat heel
sterk lijkt op een VPN), maar je kan het ook bv enkel een authentication
header laten meesturen (en dan is al je data in cleartext, maar gewoon
signed door een key die beide partijen overeenkomen), of andere trukken
uithalen. Maar door de vele opties die bestaan, zijn er dikwijls wel wat
interoperability-issues in dat opzicht.
> Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig?
Toen ik er de laatste keer naar keek (wat, toegegeven, ondertussen ook
al even geleden is), waren de transport extensies redelijk goed
gestandaardiseerd; maar zei de standaard niet zo geweldig veel over hoe
je aan keys geraakt; en verschillende vendors implementeren dat op
verschillende manieren...
[...]
--
< ron> I mean, the main *practical* problem with C++, is there's like a dozen
people in the world who think they really understand all of its rules,
and pretty much all of them are just lying to themselves too.
-- #debian-devel, OFTC, 2016-02-12
Reply to: