From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <pilot@dgtu.donetsk.ua>
Date: Wed, 23 Jul 2003 19:02:13 +0300 (EEST)
From: Denis Ovsienko <pilot@dgtu.donetsk.ua>
To: ALT Devel discussion list <devel@altlinux.ru>
Subject: Re: [devel] Re: [d-kernel] IPSec
In-Reply-To: <m3y8ypmi6t.fsf@altlinux.ru>
Message-ID: <20030723183644.M13186@elefant.dgtu.donetsk.ua>
References: <20030723171442.V8840@elefant.dgtu.donetsk.ua>
	<m3y8ypmi6t.fsf@altlinux.ru>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=KOI8-R
Content-Transfer-Encoding: 8BIT
Cc: devel-kernel@altlinux.ru
X-BeenThere: devel-kernel@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: ALT Linux kernel packages development <devel-kernel@altlinux.ru>
List-Id: ALT Linux kernel packages development  <devel-kernel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel-kernel>,
	<mailto:devel-kernel-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/devel-kernel>
List-Post: <mailto:devel-kernel@altlinux.ru>
List-Help: <mailto:devel-kernel-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel-kernel>,
	<mailto:devel-kernel-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Wed, 23 Jul 2003 15:59:11 -0000
Archived-At: <http://lore.altlinux.org/devel-kernel/20030723183644.M13186@elefant.dgtu.donetsk.ua/>
List-Archive: <http://lore.altlinux.org/devel-kernel/>
List-Post: <mailto:devel-kernel@altlinux.org>


>  DO>  Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
>  DO>  Второй --- админтул для модуля После установки имеем возможность
>  DO>  получить статические туннели IPSec с shared static keys.
> Статические - это как ?
> А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> А чем это круче, чем FreeS/WAN ?
Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
для подражания. Вот мои соображения:
1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
порядочное подмножество этих функций (отсюда и модуль в 291 КБ). CIPE
вообще, насколько я помню, наполовину работает в user-space. ipsec_tunnel
создаёт туннель средствами ядра.
3. Туннели статические. То есть администратор, определив алгоритмы и ключи
шифрования/подписи в каждом направлении, больше ничего настраивать не
должен.
То есть я не говорю, что это лучше в любой ситуации. Где-то лучше
FreeS/WAN. Для конкретно этого решения очень хорошая область применения
--- постоянный туннель, не зависящий от демонов и работы/неработы DNS,
например, связь 2-х офисов через враждебную/недоверенную сеть. Там, где
начинается динамика, и средства другие. Так что принимая за критерий
соответствие целей полученным результатам, вещь полезная.
2. В качестве cipher/digest может быть выбран любой модуль из
/lib/modules/`uname -r`/kernel/crypto/{ciphers|digests}
Это настоящий IPSec-туннель. Ядрёный ;)

--
    DO4-UANIC