Re: OpenVPN

On Sat, Sep 28, 2002 at 05:16:06PM +0200, Qlo wrote:
> Salve, ho provato questo software per tunnel crifrati con OpenSSL, il tutto usando solo una porta UDP, con il vantaggio che queste vpn funzionino d'ovunque.
> Creare queste VPN host-to-host lan-to-lan etc.. è molto semplice.
> Ora dato che non sono un esperto in security, vorrei sapere se qualcuno ha provato questo prodotto e se è valido, più che altro se il bilancio rispetto a FreeSwan/IPsec pende per un + o -.

Dal punto di vista delle prestazioni molto sta all'utilizzo che ne fai.
Se il problema principale dei servizi che passano dal tunnel e' la
latenza, UDP potrebbe essere una buona scelta, anche se disabilitare
il neighle algorithm puo' portare a latenze simili anche
con TCP. Nel caso di utilizzo per il trasferimento di grosse moli
di dati vale la pena di usare TCP + neighle, e lasciare che spedisca ogni tanto
piu' pacchetti IP del tunnel in un solo pacchetto TCP (condizione
che accade molto di frequente).

Dal punto di vista della sicurezza, mi piacciono molto di piu'
le soluzioni che utilizzano la crittografia simmetrica in maniera
semplice e conservativa (ovvero cifratura simmetrica, HMAC, counter +
timestamp per evitare i replay attack) rispetto a FreeSwan/IPSec.
Inoltre cose quali openvpn girano completamente in userspace utilizzando
il TUN device che e' comune a linux, solaris e *BSD e non necessitano
di girare tutto il tempo da utente privilegiato.

ciao,
Salvatore

-- 
Salvatore Sanfilippo <antirez at invece dot org> s/at/@/ s/dot/\./
          finger antirez@tella.alicom.org for PGP key
      "Don't worry about what anybody else is going to do.
 The best way to predict the future is to invent it." (Alan Kay)

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List