Re: vtun+iptables

Mi permetto di riportare due note relative a openvpn .

On Mon, Oct 27, 2003 at 02:30:19PM +0100, paolo.radice@xxxxxxxxxx wrote:
> Che ci guadagno? Sicurezza, stabilità, performances? Non sei il primo che
> me lo dice, ma magari sarai il primo a spiegarmi PERCHE' me lo dice.
> In realtà, devo ammettere che i motivi per cui uso vtun sono piuttosto
> banali:
> 1) è facile da configurare
OpenVPN utilizzato con certificati digitali e' facilissimo da utilizzare, e
anche la distribuzione delle configurazioni e dei certificati e' molto
semplice ( bisogna copiare dei file in una directory evvia!) .

> 2) si può usare "sopra" ssh
Il che non e' molto utile, andando vtun a gestire la connessione cifrata fai
semplicemente il doppio del calcolo necessario(cifratura di ssh + cifratura di
vtun).
Hai inoltre una stratificazione di protocolli che porta per forza dei problemi
di frammentazione e degrado delle performance.

Se usi vtun "sopra" ssh ti ritroveresti:

payload del protocollo utilizzato sulla vpn
-----
header tcp o udp(sul tunnel vtun sul tunnel ssh)
-----
header ip
-----
vtun(payload del tcp sul tunnel ssh)
-----
header tcp(sul tunnel ssh)
-----
ssh(payload del tcp)
-----
header tcp
-----
header ip


Comunque ora OpenVPN consente di funzionare anche su tcp e non solo su udp anche
se e' bene leggere il perche' le vpn in TCP non sono consigliate:

http://sites.inka.de/sites/bigred/devel/tcp-tcp.html


> 3) funziona solo su *nix (la qualcosa mi mette... più tranquillo)
Funziona anche sotto windows, anche se in beta dispone gia' di un installer
perfettamente funzionante.

http://openvpn.sourceforge.net/install32.html

Saluti

--

Fabio Pietrosanti ( naif )
E-mail: fabio@xxxxxxxxxxxxxx - naif@xxxxxxxxxxxxx
PGP Key available on my homepage: http://fabio.pietrosanti.it/
--
Security is a state of being, not a state of budget. rfp 
--

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List