---

Jeg er bare så dødforvirret af alle de protokoller... (fremgår vist også af
en anden tråd)...

Lad mig prøve at ridse min uvidenhed op... måske kan en-eller-anden prøve at
opklare noget. Jeg tæmker meget i en lagdelt model...
men det kan godt være, at det er dér kæden hopper af.

Hør lige her hvor lidt jeg ved...
Man har en IP-pakke som man gerne vil sende fra A til B.

Ip-pakken pakkes (A) ind i en særlig IPsec-pakke, som er en standard for
kryptering og/eller autentifikation.

Her kan man så vælge mellem forskellige kryptyeringsmetoder (DES, 3DES, AES)
Man kan oghså vælge forskellige aut.metoder: MD4, MD5, SHA-1

Så forvirrer det lidt at man også kan køre tunnel-mode / AH-mode i IP-sec...
men det kan man jo så vælge... og jeg kan jo se, at der bør man kører i
tunnel-mode!

Nu bliver IP-sec-pakken så pakket ind i en alm. pakke og sendt ned igennem
stakken til lag 2 (Mac-niveau)... her skal den så gøres klar til at blive
sendt videre ud på.

Men her kan man skal man så vælge forskellige tunneler: Der er noget der
hedder
L2TP og der noget der hedder L2F og der noget der hedder PPTP og der noget
der hedder GRE.

(På dette lag - lag 2 - synes jeg så PPTP burde ligge... men det er ikke
logisk i forhold til at IPsec og PPTP er to alternativer... Så derfor holder
jeg PPTP ude i første omgang)

Pakken skal altså ned på lag 2 i en GRE-tunnel eller i en L2TP eller ...???
Men hvorfor egentlig køre en speciel tunnel på de nedre lag... IP-pakken er
jo krypteret osv. Hvad sker der præcist i GRE eller L2TP ... er det nogle
bestemte rammer eller ???

Se, så er der jo PPTP... Det kan man så vælge som alternativ til IP-sec.
Dog har jeg set en figur i noget materiale hvor PPTP er tegnet ind på lag2
og
IPSec på lag 3!
Nå, men PPTP er jo så en metode som Microsoft sammen med andre prodicenter
har opfundet...

Skal man så også her tage stilling til kryptering-metoder (ex. DES) og
aut.metoder
(ex. MD5)...
Kan man med PPTP vælge forskellige krypt.metoder/aut.metoder.. eller kører
denne protokol sin egen metode?

Skal man med PPTP vælge forskellige tunnel-måder eller kører den altid en
GRE-tunnel!

Se... jeg er, som I kan læse død-forvirret:

Der er masser af materiale på Internettet, men hvorfor er der ikke en let
"kom-i-gang-med-sikkerhed" bog (i stil med IDG-hæfte eller lignende) ????

I det hele taget kan man læse meget om mange forskellige
metoder/protokoller, men for en nybegynder er det lidt svært at se
sammenhængen/forudsætningen mellem de forskellige metoder/protokoller!

Jeg er forvirret ........

Hilsen
Benny!

Sidebemærkning: Jeg spurgte en konsulent på et tidspunkt (han var vist mere
sælger end konsulent...) og han sagde, at det skulle heg altså ikke
spekulere så meget på,
for bare man kørte IP-sec, så var krypteringen sikker
(Han kunne ligeså godt have solgt PC'ere i FONA... ikke fordi jeg har noget
imod FONA!)

---

Hej

Der er faktisk et IDG hæfte vedr. OSI-modellen
Introduktion til netværk - 2. udgave af Arnie Stalhein og Geir Steen-Olsen
ISBN: 87-7843-259-6

som omhandler arkitektur, transmissionsmetoder, protokoller og udstyrstyper
til ca. 90 kr.

mvh
Peter

---

Den Wed, 16 Jan 2002 13:59:54 +0100 skrev Peter M.:
>Hej
>
>Der er faktisk et IDG hæfte vedr. OSI-modellen
>Introduktion til netværk - 2. udgave af Arnie Stalhein og Geir Steen-Olsen
>ISBN: 87-7843-259-6
>
>som omhandler arkitektur, transmissionsmetoder, protokoller og udstyrstyper
>til ca. 90 kr.

Vi snakker TCP/IP. OSI-modellen er en teoretisk model, som er meget mere
kompleks end TCP/IP, og som ikke dækker TCP/IP specielt godt. (Faktisk
har jeg en teori om at OSI-modellen ville være bedre til at planlægge
bus-køreplaner). Jeg mener det er meget nemmere at forstå TCP/IP, end
at forstå OSI-modellen, så det ville være ret tåbeligt at starte med
OSI-modellen.

Mvh
Kent
--
If you think about it, Windows 2000 is actually the OS that
started as "Microsoft OS/2 NT 3.0"

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a247kj$dlm$2@sunsite.dk...
> OSI-modellen er en teoretisk model, som er meget mere
> kompleks end TCP/IP, og som ikke dækker TCP/IP specielt godt. (Faktisk
> har jeg en teori om at OSI-modellen ville være bedre til at planlægge
> bus-køreplaner).

Heh, det vil jeg da meget gerne høre mere om.
Futter lige...

> Jeg mener det er meget nemmere at forstå TCP/IP, end
> at forstå OSI-modellen, så det ville være ret tåbeligt at starte med
> OSI-modellen.

Enig.
OSI-modellen er god at kende, men hvis det alligevel er TCP/IP man skal
arbejde med, kan man da starte med at lære den at kende.

FUT: dk.snak.off-topic
(alternativ: d.e.netværk)

--
Mvh.

Niels Andersen

---

> et IDG hæfte vedr. OSI-modellen

Hæfter fortæller ikke meget om IPsec, PPTP, L2TP, GRE etc.

---

bs wrote:

> Se... jeg er, som I kan læse død-forvirret:


Hvad er det der forvirre dig?

Hvad er der galt i at, skrive en krypteret mail, sende den over https, i
en IPSEC vpn tunnel, som bliver indpakket i GRE, som bliver indpakket i
en IPSEC vpn tunnel, som bliver indpakket i en IPSEC vpn tunnel, som
bliver indpakket i en IPSEC vpn tunnel, som bliver indpakket i en IPSEC
vpn tunnel, som bliver indpakket i en IPSEC vpn tunnel, som bliver
indpakket i en IPSEC vpn tunnel (ups jeg kørte i løkke)?




(ud over at det er besværligt at sætte op, svært at fejlsøge i,
langsomt, måske ustabilt)


> Der er masser af materiale på Internettet, men hvorfor er der ikke en let
> "kom-i-gang-med-sikkerhed" bog (i stil med IDG-hæfte eller lignende) ????


Hvilken form for sikkerhed mener du?


> Sidebemærkning: Jeg spurgte en konsulent på et tidspunkt (han var vist mere
> sælger end konsulent...) og han sagde, at det skulle heg altså ikke
> spekulere så meget på,
> for bare man kørte IP-sec, så var krypteringen sikker


Det passer jo ikke, da du godt kan bruge IPSEC uden at gører brug af
kryptering.

---

"Christian E. Lysel" wrote:
>
> bs wrote:
>
> > Se... jeg er, som I kan læse død-forvirret:
>
> Hvad er det der forvirre dig?
>
> Hvad er der galt i at, skrive en krypteret mail, sende den over https, i
> en IPSEC vpn tunnel, som bliver indpakket i GRE, som bliver indpakket i
> en IPSEC vpn tunnel, som bliver indpakket i en IPSEC vpn tunnel, som
> bliver indpakket i en IPSEC vpn tunnel, som bliver indpakket i en IPSEC
> vpn tunnel, som bliver indpakket i en IPSEC vpn tunnel, som bliver
> indpakket i en IPSEC vpn tunnel (ups jeg kørte i løkke)?

Normalt har man en protokolstak hvilket betyder, at man bygger mere
avancerede protokoller ovenpå mere primitive protokoller. I sidste
ende vil man stå med et antal lag, de mange lag vil altid koste
performance, hvor meget performance der spildes afhænger af mange
forskellige omstændigheder. Men en effektiv udnyttelse af mere end
50% af netværkets fysiske kapacitet er ikke urealistisk.

I disse protokolstakke er det meget almindeligt at have IP på et af
lagene. Ved at holde dette lag fælles kan applikationer bygges
ovenpå uden at bekymre sig ret meget over hvad der ligger nedenunder.
Samtidig kan lagene nedenunder designes uden ret meget bekymring om
hvad der skal bygges ovenpå.

ICMP, UDP og TCP er alle protokoller, der ligger lige ovenpå IP.

En tunnel betyder, at man sender data hørende til en protokol
gennem en forbindelse implementeret af samme eller en anden
protokol. En tunnel infører altid mindst et ekstra lag som koster
performance. Man kan have så mange lag man måtte ønske, men man
kan nemt komme til at begå fejl, så en tunnel kommer til at
benytter sig selv. Så har man uendeligt mange lag, hvilket
naturligvis ikke virker.

En typisk tunnel kunne ligge både ovenpå og nedenunder IP, man
skal så sikre sig at der anvendes forskellige IP addresser
ovenpå og nedenunder for at undgå førnævnte problemer. Der er
forskel på, hvordan forskellige tunneler implementeres. En tunnel
kan implementeres på UDP, TCP eller direkte på IP.

Jeg håber, jeg ikke har gjort en stakkels forvirret mand endnu
mere forviret.

--
Kasper Dupont
For sending spam use mailto:u972183+6138@daimi.au.dk