Solod Опубликовано 11 Августа 2006 Жалоба Поделиться Опубликовано 11 Августа 2006 Можно ли узнать поподробнее как происходит инкапсуляция в IP/241 и IP/UDP (55777)? IP пакеты целиком шифруются и помещаються в новые или что то более сложное? В чем принципиальное отличие от IPSec?Не смог найти этой информации, это коммерческая тайна или плохо искал? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 14 Августа 2006 Жалоба Поделиться Опубликовано 14 Августа 2006 SolodЕсли кратко, то так:1) В UDP инкапсулируются пакеты, если драйвер считает, что по пути следования пакета есть NAT-устройство. При этом размер пакета увеличивается примерно на 5% при типовой длине 1500 байт.2) В инм случае драйвер использует более экономичный с точки зреия добавляемой информации протокол IP 241, в котором отсутствует UDP заголовок. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Solod Опубликовано 14 Августа 2006 Автор Жалоба Поделиться Опубликовано 14 Августа 2006 Это понятно, интересуют подробности, в часности:1) Шифруются ли заголовки исходного пакета или только тело2) Обеспечивается ли контроль целостности и атентификация пакетов, если да то как3) Как происходит установка защищенного каналаВ общем интересуют принципиальные отличия (преймущества :wink: ) от IPSec. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 14 Августа 2006 Жалоба Поделиться Опубликовано 14 Августа 2006 Вот на сайте есть статьи где подробно изложенна вся технология ViPNet http://www.infotecs.ru/technology/vipnet_ip.htm и http://www.infotecs.ru/technology/vpn_keyst.htm. Так что тайны никакой нет ) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Solod Опубликовано 14 Августа 2006 Автор Жалоба Поделиться Опубликовано 14 Августа 2006 Вот на сайте есть статьи где подробно изложенна вся технология ViPNet http://www.infotecs.ru/technology/vipnet_ip.htm и http://www.infotecs.ru/technology/vpn_keyst.htm. Так что тайны никакой нет )Первую ссылку уже читал, там общее описание, меня интересуют подробности которые я написал в предыдущем посте, в статье я ответов не нашел. Вторая у меня не работает. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 14 Августа 2006 Жалоба Поделиться Опубликовано 14 Августа 2006 SolodСсылка рабочая.http://www.infotecs.ru/technology/vpn_keyst.htm Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 14 Августа 2006 Жалоба Поделиться Опубликовано 14 Августа 2006 SolodВ пакете шифруется и заголовок и тело. Аутентификация обеспечивается следующим образом - пакет считается аутентифицированным если его удалось расшифровать и проверить имитозащиту (сигнатуру) на основе данных помещенных в заголовок.Что же касается защищенного, канала, то если Вы говорите о сессии, то такого понятия в технологии ViPNet нет вобще, вся информация шифруется "попакетно", т.е. мы получаем пакетное шифрование. Более менее подробно это описано здесь http://www.infotecs.ru/technology/vpn_keyst.htm#8 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Solod Опубликовано 14 Августа 2006 Автор Жалоба Поделиться Опубликовано 14 Августа 2006 За ссылку спасибо, в стандартной документации так подробно про ключи не расписано.Правильно ли я понял, что клиент передавая данные отправляет пакет, зашифрованный и инкапсулированный в IP/241 или UDP 55777, на заранее известный IP адрес, и в случае если тот не сможет его расшифровать (либо ошибка при проверке имитозащиты) это и будет считаться непройденной аутентификацией? Стороны об этом узнают? Или перед тем как сможет начаться обмен данными на более высоком уровне должна быть провердена аутентификация удаленного клиента?Кстати также интересно, а как клиент определяет, находится ли на заданном адресе координатор? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 14 Августа 2006 Жалоба Поделиться Опубликовано 14 Августа 2006 SolodСтороны об этом узнают, это будет отображено в журнале IP пакетов с соответствующим событием.Аутентификация удаленного клиента как таковая не производится на сервере. Вы оперируете IPSec-оскими терминами, которые не совсем применимы к технологии ViPNet. Все происходит на низком уровне, на уровне драйвера (опреации с ключами, идентификаторами и т.д. в рамках форума всего не опишеш).По поводу последнего вопроса - праивильно ли я понял, что вопрос заключается в том, откуда клиент знает, что координатору принадлежит некий адрес? Если так, то клиент всегда знает, какие адреса у координатор(ов), эта информация хранится в его стправочных таблицах. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Solod Опубликовано 15 Августа 2006 Автор Жалоба Поделиться Опубликовано 15 Августа 2006 Наоборот, я хотел узнать как клиент проверяет что на заданном IP действительно стоит координатор. Собственно это тот же вопрос про аутентификацию клиентов только в профиль :wink: Поннимаю что в ветке форума проблематично подробно описывать технологю, надеялся что существует документ где это подробно расписано... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 15 Августа 2006 Жалоба Поделиться Опубликовано 15 Августа 2006 SolodЯ так и писал - клиент заранее знает, на каком адресе стоит координатор. Эту инфу он берет из своих справочных таблиц, в который также хранится инфа об идентификаторах всех узлов, с которыми связан клиент. Клиент всегда должен быть привязан как минимум к одному координатору (своему). Инфу о других координаторах ему передаст свой координатор. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Solod Опубликовано 15 Августа 2006 Автор Жалоба Поделиться Опубликовано 15 Августа 2006 Не совсем то что я спрашива. Вопрос в аутентификации.Попробую переформулировать: что будет если путем шаманских плясок задать на клиенте в качестве IP адреса собственного координатора - IP координатора работающего на ключах другого УКЦ? Они выдадут ошибку и если да то на основании чего? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 15 Августа 2006 Жалоба Поделиться Опубликовано 15 Августа 2006 SolodВообще то ситуация глупая - для воспроизведения такой ситуации надо постараться Т.е. по Вашему:1) есть две РАЗЛИЧНЫЕ VPN 2) нет межсетевого взаимодействия между сетями3) каким-то непостижимым образом, пакет, от некого клиента (предположим) сети№1 попадает не на свой шлюзовой координатор, а на шлюзовой координатор сети №2.Результат: масса ругани в журнале IP пакетов, пакет будет заблокирован.Предполагаемые события: 17 - Неверный IP-адрес получателя14 - Получен IP-пакет не для своего АП 9 - Неизвестный идентификатор абонентского пункта22 - Открытый IP-пакет от защищенного адресата На вскидку, примерно так. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Solod Опубликовано 15 Августа 2006 Автор Жалоба Поделиться Опубликовано 15 Августа 2006 Т.е. то что координатор левый абонент узнает только после того как попытается отправить через него пакет, а до этого проверив что IP пингуется будет уверен что это его координатор? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 15 Августа 2006 Жалоба Поделиться Опубликовано 15 Августа 2006 SolodУзел не будет пинговаться, с чего Вы это взяли? В пакете будет "левый" идентификатор, в конце концов, пакет будет зашифрован на другом (неизвестном координатору) ключе. В конце концов, такой пакет по определнию не может попасть на "чужой" координатор.Выводы из всей переписки:1) в штатном режиме, один узел, не отправит зашифрованный пакет на другой узел, не имея информации об этом узле. 2) предполагаемая ситуация осложняется одновременным присутствием двух РАЗЛИЧНЫХ VPN 3) в любом случае, пакет, предназначеный "другому" узлу, не будет принят узлом, который "случайно" прмет этот пакет, он будет блокирован.4) никакого предварительного "пингования узлов" не происходит. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Solod Опубликовано 15 Августа 2006 Автор Жалоба Поделиться Опубликовано 15 Августа 2006 Теперь понятно, спасибо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 15 Августа 2006 Жалоба Поделиться Опубликовано 15 Августа 2006 8) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.