Что: 5990ef1243d356aac4686e9357fc85f945eba3c5
Когда: 2020-01-22 16:30:19+03:00
------------------------------------------------------------------------
Темы: ipsec
------------------------------------------------------------------------
На работе рассказал про IPsec (ESP, IKEv2, PF_KEY)

Освежевал память свою на эту тему. Обратил внимание что в PF_KEY при
добавлении SP можно задавать ожидаемые идентификаторы сторон. А это
значит что я по сути могу просто в своём приложении для сокета вызвать
setsockopt и передать желание безопасного соединения с адресом
какого-нибудь банка и явно передать что я ожидаю что он представится
доменом или как-то ещё. Ядро это увидит, оповестит IKE, тот согласует SA
и аутентифицирует стороны. В принципе это абсолютно полная замена TLS.

Но посмотрел в исходники FreeBSD и увидел что передать то я могу
идентификаторы, но никто их нигде использовать не будет. Исходники
OpenBSD говорят что вроде бы всё ожидаемо будет учтено. strongSwan
исходники говорят что он подобные SP требования из PF_KEY учитывать
будет только под Linux.

FreeBSD тут плетётся где-то сзади, что неприятно. Я уже обнаруживал что
ESN в ней не поддерживается для ESP, что на современных быстрых жирных
сетях вообще крайне желательно бы иметь. Ещё я заметил что IPsec FreeBSD
чуть ли не полностью сделан Яндексом, судя по всему. Оно то конечно всё
работает, но на определённом множестве промышленных задач, а не всяких
мелочей ДЦ корпорациям не сдавшихся.

Прям захотелось взять и перейти на OpenBSD! Но... отсутствие ZFS --
критично, невысокая производительность и масштабируемость неприятны.
Прям хоть в виртуалку под FreeBSD ставь OpenBSD для работы с сетью.

------------------------------------------------------------------------
оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20%D0%9D%D0%B0%20%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B5%20%D1%80%D0%B0%D1%81%D1%81%D0%BA%D0%B0%D0%B7%D0%B0%D0%BB%20%D0%BF%D1%80%D0%BE%20IPsec%20%28ESP%2C%20IKEv2%2C%20PF_KEY%29%20%285990ef1243d356aac4686e9357fc85f945eba3c5%29

------------------------------------------------------------------------
Сгенерирован: SGBlog 0.34.0