/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Er AH nødvendigt eller en fordel?
Fra : Benny Sørensen


Dato : 17-01-02 11:06

Jeg har ikke den store ekspertise i sikkerhed... ej heller IPsec
(indrømmet...)!
Alligevel vil jeg finde det interessant med en diskussion om AH i IPSec
overhovedet er nødvendig eller om det er en fordel......???

Hilsen Benny Sørensen
- Jeg læner mig spændt tilbage i stolen og læser sikkerheds-folk ytre sig




 
 
Kasper Dupont (17-01-2002)
Kommentar
Fra : Kasper Dupont


Dato : 17-01-02 13:38

"Benny Sørensen" wrote:
>
> Jeg har ikke den store ekspertise i sikkerhed... ej heller IPsec
> (indrømmet...)!
> Alligevel vil jeg finde det interessant med en diskussion om AH i IPSec
> overhovedet er nødvendig eller om det er en fordel......???

Authentication Headeren sikrer at modtageren kan se at pakken er
sendt af den rigtige afsender. Uden AH ville en udenforstående
kunne sende pakker til VPN boksen, som ville blive lukket ind på
det interne netværk.

--
Kasper Dupont
For sending spam use mailto:u972183+6138@daimi.au.dk

bs (17-01-2002)
Kommentar
Fra : bs


Dato : 17-01-02 19:22

> Authentication Headeren sikrer at modtageren kan se at pakken er
> sendt af den rigtige afsender. Uden AH ville en udenforstående
> kunne sende pakker til VPN boksen, som ville blive lukket ind på
> det interne netværk.

Nu er jeg ikke ekspert på IPsec, men er der noget argument for at bruge
AH....
ESP indeholder (såvidt jeg læste i en anden tråd) også autentifikation.

Hilsen
Benny Sørensen



Kasper Dupont (18-01-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-01-02 01:02

bs wrote:
>
> > Authentication Headeren sikrer at modtageren kan se at pakken er
> > sendt af den rigtige afsender. Uden AH ville en udenforstående
> > kunne sende pakker til VPN boksen, som ville blive lukket ind på
> > det interne netværk.
>
> Nu er jeg ikke ekspert på IPsec, men er der noget argument for at bruge
> AH....
> ESP indeholder (såvidt jeg læste i en anden tråd) også autentifikation.

Jeg er ikke ekspert i IPsec eller konkrete implementationer.
Jeg kender IP ret godt, og jeg har et teoretisk kendskab til
VPN. Autentifikation er nødvendigt, men hvis jeg iøvrigt har
forstået den anden tråd rigtigt, er ESP et alternativ. Og
udfra andre postings i denne tråd kunne det lyde som om ESP
faktisk er bedre end AH. Så du har nok ret.

--
Kasper Dupont
For sending spam use mailto:u972183+6138@daimi.au.dk

Asbjorn Hojmark (17-01-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 17-01-02 23:47

On Thu, 17 Jan 2002 13:37:48 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Authentication Headeren sikrer at modtageren kan se at pakken er
> sendt af den rigtige afsender.

Faktisk forsøger AH at sikre både autenticitet for både afsender
og dataindhold. Der er dog et par problemer med AH:

1) Nogle IP header-felter kan ændres undervejs, og kan derfor
ikke beskyttes af AH. Som de selv siger (RFC2402): "Thus the
protection provided to the IP header by AH is somewhat piece-
meal."

2) AH udgør et stort problem, hvis der anvendes NAT undervejs,
for der ændrer man jo *netop* indholdet af header og/eller data i
pakken, og man vil derfor stå med et AH-check der fejler, selvom
der ikke er sket noget 'forkert'.

Et alternativ til AH kan være ESP[1]. ESP beskytter godt nok kun
IP-headeren, hvis man kører i tunnel mode, men det er netop hvad
man vil ønske når man har NAT involveret.

Med den store udbredelse af NAT er AH derfor hverken særlig
attraktiv eller særlig udbredt.

> Uden AH ville en udenforstående kunne sende pakker til VPN boksen,
> som ville blive lukket ind på det interne netværk.

Næ, man kan bruge ESP. Og det er da også det mest alminedelige.

-A
[1] Ja, jeg ved godt, at man kan bruge AH og ESP sammen.
--
http://www.hojmark.org/

Christian Andersen (18-01-2002)
Kommentar
Fra : Christian Andersen


Dato : 18-01-02 00:47

Asbjorn Hojmark wrote:

>Et alternativ til AH kan være ESP

Ja, men tanke-overføring er vist ikke så udbredt endnu er det?

--
"...in Spain!"

Asbjorn Hojmark (18-01-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 18-01-02 01:16

On 17 Jan 2002 23:47:26 GMT, Christian Andersen
<m4jni76ztglp001@sneakemail.com> wrote:

>> Et alternativ til AH kan være ESP

> Ja, men tanke-overføring er vist ikke så udbredt endnu er det?

Øv. Den skulle jeg tænke over.

-A
--
http://www.hojmark.org/

bs (22-01-2002)
Kommentar
Fra : bs


Dato : 22-01-02 09:51

Hm... vi andre tænker endnu!

Er det en meget sofistikeret vits...

Jeg er lidt nysgerrig...

Hilsen
Benny Sørensen




Asbjorn Hojmark (22-01-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 22-01-02 23:47

On Tue, 22 Jan 2002 09:51:02 +0100, "bs" <bs@nospam.dk> wrote:

>>>> Et alternativ til AH kan være ESP

>>> Ja, men tanke-overføring er vist ikke så udbredt endnu er det?

> Jeg er lidt nysgerrig...

ESP = ExtraSensory Perception, dvs. noget man opfatter udover de
normale 5 sanser. Det bruges i praksis ofte om tankelæsning eller
-overførsel, men dækker egentlig også andre områder.

Når jeg skulle tænke lidt over den, så var det nok mest fordi vi
er i edb-land nu.

-A
--
http://www.hojmark.org/

Kasper Dupont (18-01-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-01-02 01:14

Asbjorn Hojmark wrote:
>
> On Thu, 17 Jan 2002 13:37:48 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> > Authentication Headeren sikrer at modtageren kan se at pakken er
> > sendt af den rigtige afsender.
>
> Faktisk forsøger AH at sikre både autenticitet for både afsender
> og dataindhold. Der er dog et par problemer med AH:
>
> 1) Nogle IP header-felter kan ændres undervejs, og kan derfor
> ikke beskyttes af AH. Som de selv siger (RFC2402): "Thus the
> protection provided to the IP header by AH is somewhat piece-
> meal."
>
> 2) AH udgør et stort problem, hvis der anvendes NAT undervejs,
> for der ændrer man jo *netop* indholdet af header og/eller data i
> pakken, og man vil derfor stå med et AH-check der fejler, selvom
> der ikke er sket noget 'forkert'.

Du ved nok mere om den konkrete implementation en mig.
Men ud fra din beskrivelse lyder det som om AH ikke
er helt fornuftigt implementeret.

>
> Et alternativ til AH kan være ESP[1]. ESP beskytter godt nok kun
> IP-headeren, hvis man kører i tunnel mode, men det er netop hvad
> man vil ønske når man har NAT involveret.

Jeg mener bestemt også at tunnelen er den bedste/
eneste rigtige løsning. Hvis ESP er nødvendig for at
lave en tunnel, så bør man bruge ESP til at lave en
tunnel.

>
> Med den store udbredelse af NAT er AH derfor hverken særlig
> attraktiv eller særlig udbredt.

Hvis den ikke kan lave en tunnel er den ikke særlig
attraktiv.

>
> > Uden AH ville en udenforstående kunne sende pakker til VPN boksen,
> > som ville blive lukket ind på det interne netværk.
>
> Næ, man kan bruge ESP. Og det er da også det mest alminedelige.

Jeg fik vidst formuleret mig lidt uheldigt. Det var
ikke min mening at udtale mig om den ene autentifikation
fremfor den anden. Hvad jeg prøvede at sige, er at man
er nødt til at anvende en form for autentifikation. Ud
fra din beskrivelse lyder ESP til at være bedre end AH,
ikke på grund af autentifikationen men på grund af
tunnelen.

>
> -A
> [1] Ja, jeg ved godt, at man kan bruge AH og ESP sammen.

Ja selvfølgelig kan man det, den slags protokoller kan
man næsten altid lægge ovenpå hinanden. Men tjerner det
noget formål?

> --
> http://www.hojmark.org/

--
Kasper Dupont
For sending spam use mailto:u972183+6138@daimi.au.dk

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste