Инкапсуляция в IP/241 и IP/UDP (55777)

[Solod]

Можно ли узнать поподробнее как происходит инкапсуляция в IP/241 и IP/UDP (55777)? IP пакеты целиком шифруются и помещаються в новые или что то более сложное? В чем принципиальное отличие от IPSec?

Не смог найти этой информации, это коммерческая тайна или плохо искал?

[Stratos]

Solod

Если кратко, то так:

1) В UDP инкапсулируются пакеты, если драйвер считает, что по пути следования пакета есть NAT-устройство. При этом размер пакета увеличивается примерно на 5% при типовой длине 1500 байт.

2) В инм случае драйвер использует более экономичный с точки зреия добавляемой информации протокол IP 241, в котором отсутствует UDP заголовок.

[Solod]

Это понятно, интересуют подробности, в часности:

1) Шифруются ли заголовки исходного пакета или только тело

2) Обеспечивается ли контроль целостности и атентификация пакетов, если да то как

3) Как происходит установка защищенного канала

В общем интересуют принципиальные отличия (преймущества :wink: ) от IPSec.

[intellegent]

Вот на сайте есть статьи где подробно изложенна вся технология ViPNet http://www.infotecs.ru/technology/vipnet_ip.htm и http://www.infotecs.ru/technology/vpn_keyst.htm. Так что тайны никакой нет )

[Solod]

Вот на сайте есть статьи где подробно изложенна вся технология ViPNet http://www.infotecs.ru/technology/vipnet_ip.htm и http://www.infotecs.ru/technology/vpn_keyst.htm. Так что тайны никакой нет )

Первую ссылку уже читал, там общее описание, меня интересуют подробности которые я написал в предыдущем посте, в статье я ответов не нашел.

Вторая у меня не работает.

[Stratos]

Solod

Ссылка рабочая.

http://www.infotecs.ru/technology/vpn_keyst.htm

[Stratos]

Solod

В пакете шифруется и заголовок и тело. Аутентификация обеспечивается следующим образом - пакет считается аутентифицированным если его удалось расшифровать и проверить имитозащиту (сигнатуру) на основе данных помещенных в заголовок.

Что же касается защищенного, канала, то если Вы говорите о сессии, то такого понятия в технологии ViPNet нет вобще, вся информация шифруется "попакетно", т.е. мы получаем пакетное шифрование. Более менее подробно это описано здесь http://www.infotecs.ru/technology/vpn_keyst.htm#8

[Solod]

За ссылку спасибо, в стандартной документации так подробно про ключи не расписано.

Правильно ли я понял, что клиент передавая данные отправляет пакет, зашифрованный и инкапсулированный в IP/241 или UDP 55777, на заранее известный IP адрес, и в случае если тот не сможет его расшифровать (либо ошибка при проверке имитозащиты) это и будет считаться непройденной аутентификацией? Стороны об этом узнают? Или перед тем как сможет начаться обмен данными на более высоком уровне должна быть провердена аутентификация удаленного клиента?

Кстати также интересно, а как клиент определяет, находится ли на заданном адресе координатор?

[Stratos]

Solod

Стороны об этом узнают, это будет отображено в журнале IP пакетов с соответствующим событием.

Аутентификация удаленного клиента как таковая не производится на сервере. Вы оперируете IPSec-оскими терминами, которые не совсем применимы к технологии ViPNet. Все происходит на низком уровне, на уровне драйвера (опреации с ключами, идентификаторами и т.д. в рамках форума всего не опишеш).

По поводу последнего вопроса - праивильно ли я понял, что вопрос заключается в том, откуда клиент знает, что координатору принадлежит некий адрес? Если так, то клиент всегда знает, какие адреса у координатор(ов), эта информация хранится в его стправочных таблицах.

[Solod]

Наоборот, я хотел узнать как клиент проверяет что на заданном IP действительно стоит координатор. Собственно это тот же вопрос про аутентификацию клиентов только в профиль :wink:

Поннимаю что в ветке форума проблематично подробно описывать технологю, надеялся что существует документ где это подробно расписано...

[Stratos]

Solod

Я так и писал - клиент заранее знает, на каком адресе стоит координатор. Эту инфу он берет из своих справочных таблиц, в который также хранится инфа об идентификаторах всех узлов, с которыми связан клиент. Клиент всегда должен быть привязан как минимум к одному координатору (своему). Инфу о других координаторах ему передаст свой координатор.

[Solod]

Не совсем то что я спрашива. Вопрос в аутентификации.

Попробую переформулировать: что будет если путем шаманских плясок задать на клиенте в качестве IP адреса собственного координатора - IP координатора работающего на ключах другого УКЦ? Они выдадут ошибку и если да то на основании чего?

[Stratos]

Solod

Вообще то ситуация глупая - для воспроизведения такой ситуации надо постараться

Т.е. по Вашему:

1) есть две РАЗЛИЧНЫЕ VPN

2) нет межсетевого взаимодействия между сетями

3) каким-то непостижимым образом, пакет, от некого клиента (предположим) сети№1 попадает не на свой шлюзовой координатор, а на шлюзовой координатор сети №2.

Результат: масса ругани в журнале IP пакетов, пакет будет заблокирован.

Предполагаемые события:

17 - Неверный IP-адрес получателя

14 - Получен IP-пакет не для своего АП

9 - Неизвестный идентификатор абонентского пункта

22 - Открытый IP-пакет от защищенного адресата

На вскидку, примерно так.

[Solod]

Т.е. то что координатор левый абонент узнает только после того как попытается отправить через него пакет, а до этого проверив что IP пингуется будет уверен что это его координатор?

[Stratos]

Solod

Узел не будет пинговаться, с чего Вы это взяли? В пакете будет "левый" идентификатор, в конце концов, пакет будет зашифрован на другом (неизвестном координатору) ключе. В конце концов, такой пакет по определнию не может попасть на "чужой" координатор.

Выводы из всей переписки:

1) в штатном режиме, один узел, не отправит зашифрованный пакет на другой узел, не имея информации об этом узле.

2) предполагаемая ситуация осложняется одновременным присутствием двух РАЗЛИЧНЫХ VPN

3) в любом случае, пакет, предназначеный "другому" узлу, не будет принят узлом, который "случайно" прмет этот пакет, он будет блокирован.

4) никакого предварительного "пингования узлов" не происходит.

[Solod]

Теперь понятно, спасибо.

[Stratos]

8)