From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <abulava@altlinux.ru>
Message-ID: <426610D3.3090404@altlinux.ru>
Date: Wed, 20 Apr 2005 11:20:35 +0300
From: Andrei Bulava <abulava@altlinux.ru>
User-Agent: Mozilla Thunderbird 1.0 (X11/20050202)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
Subject: Re: [sisyphus] Re: SSH +ldap
References: <1802698194.20050416154823@mail.ru>	<20050417151353.GN6352@osdn.org.ua>	<162974050.20050417200546@mail.ru>	<20050417174224.GD11415@osdn.org.ua>	<674098103.20050417231037@mail.ru>
	<20050418063001.GF11819@osdn.org.ua>
In-Reply-To: <20050418063001.GF11819@osdn.org.ua>
X-Enigmail-Version: 0.90.0.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Wed, 20 Apr 2005 08:20:47 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/426610D3.3090404@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

Michael Shigorin wrote:
> On Sun, Apr 17, 2005 at 11:10:37PM +0400, Gor_lov aka Stalker wrote:
> [stunnel skipped]
> 
>>>>Есть ли более простой путь через терни к звёздам?
>>>
>>>vtun?
>>
>>Есть ли бы я знал...  Щас вот в раздумьях что лапать -stunel или vtun.
>>Кто из них проще в настройке и по "безопаснее"?
> 
> 
> IMHO второе.  Потому-то первое и было скипнуто.

Насчёт "vtun безопаснее" - надо читать 
http://www.cs.auckland.ac.nz/%7Epgut001/pubs/linux_vpn.txt и дрожать (2 
раза). Как справедливо заметил автор, использование шифрования самого по 
себе ничуть не гарантирует безопасности.

После прочтения не возникает желания использовать ничего, кроме OpenVPN
(http://openvpn.sourceforge.net/) или KAME's IPsec utilities 
(http://ipsec-tools.sourceforge.net/).

Я, конечно, не эксперт по криптоустойчивости, но лучше уж перебдеть, чем 
недобдеть. В этом плане имеющийся в Sisyphus ipsec_tunnel немного 
подмочен в http://www.linux-magazine.com/issue/39/VPN_Insecurity.pdf, 
"there’s ... something like ipsec_tunnel 
http://ringstrom.mine.nu/ipsec_tunnel/ to retrofit to older ones. 
ipsec_tunnel is an extremely lightweight (38K of source code) IPsec ESP 
implementation, although it appears to be missing some functionality 
such as the sliding-window replay protection that would have to be added 
to provide proper security."

-- 
// AB1002-UANIC