VPN, Dial-up, enkripcija, protokoli, etc.
 

Trebam malu pomoc...

Ako nesto krivo napisem neka me netko ispravi:D

Dakle za remote access client-e imamo sljedece autentifikacijske protokole:

CHAP, PAP,SPAP, MS-CHAP, MS-CHAP v2, EAP-TLS, PEAP, MD-5 Challenge

To su protokoli za remote access client autentifikaciju

Onda kod VPN-a imamo tunneling (enrcyption) protokole:

PPTP (MPPE) i L2TP/IPSec

A kod Dial-up-a imamo sljedece autentifikacijske protokole:

CHAP, PAP,SPAP, MS-CHAP, MS-CHAP v2, EAP-TLS, MD-5 Challenge

E sad dolazimo do onoga sto mi nije bas najasnije...

Kod VPN-a kada koristi recimo PPTP/MPPE protokol onda pomocu PPTP protokola se stvara samo "tunel" ali ne pruzna i enkripciju, za enkripciju koristi MPPE.... a kod L2TP/IPSec-a L2TP protokol se koristi za stvaranje "tunela" ali takoder ne pruza enkripciju nego se za enkripciju koristi IPSec... Nadam se da je do sada sve tocno...:D

E sada mi nije jasno dali VPN koristi ove autentifikacijske protokole? Dakle CHAP, MS-CHAP i ostale?

Citao sam malo po netu pa vidim da znaju razlicito zvati te protokole.... tj. trpati ih u razlicite da tako kazem "grupe" pa znaju napisati za PPTP i L2TP protokole da su autentifikacijski pa sam pomislio da su PPTP i L2TP umjesto tunneling protokoli ustvari autentifikacijski protokoli koje koristi samo VPN... I tako znao sam procitati jos neke stvari oko tih svih protokola koje mi bas nisu imale smisla...

Ne u potpunosti. Kod L2TP/IPSec se koristi IPSec za skoro sve, od autentikacije, preko enkripcije i integriteta, a u ipsec payloadu je enkapsuliran L2TP.

Koji VPN? IPSec sigurno ne, PPTP već da. U biti da se ispravim, IPSec ne koristi CHAP, MSCHAP (bilo koje verzije). Od onih koje si spomenuo koristi md5 za hashiranje (integritet).

Ovo baš i nije točno. L2TP/IPSec koristi standardne metode autentikacije koje se koriste kod IPseca osim kerberosa: preshared key ili autentikacija bazirana na certifikatima. To je sa gateway to gateway tunelima i za machine level autentikaciju, za user level autentikaciju moguće je koristiti sve autentikacijske protokole (MSCHAP, EAP itd...).

tnx na odgovoru...
Znaci kod VPN PPTP-a protokola PPTP se koristi da stvori "tunel" tj. enkapsulira paket dok je MPPE ovdje zaduzen za enkripciju a za autentikaciju koristi autentikacijske protokole kao sto su MS-CAHP, MS-CHAP v2 etc.

A kod VPN L2TP/IPSec protokola L2TP enkapsulira pakete dok se IPSec koristi za sve ostalo enkripciju, autentifikaciju i integritet...

IPSec trazi autentikaciju racunala preko kerberos protokola ili preko certifikata.... No meni pise u knjizi da se umjesto autentikacije racunala moze forsirati user autentikacija preko MS-CHAP-a Znaci moze se koristiti MS-CHAP ako se bas zeli ali po defaultu IPSec jednostavno ne koristi MS-CHAP???

Dalje zanima me sto se tice dial-up...

Kod dial-up imamo PPP protokol i SLIP protokol...

PPP protokol enkapsulira ip pakete... (za autentikaciju se koriste CHAP, MS-CHAP, PEAP, EAP-TLS ) e sad sto se tice enkripcije za to je isto zaduzen MPPE ili?

Da? Imaš primjer takve implementacije IPSeca? Dakle da koristi MSCHAP. Nisam to znao.

Govorrio sam o user level autentikaciji za L2TP/IPsec tunneling protokol:

For L2TP/IPSec connections, you can use any user authentication protocol, because the authentication occurs after the VPN client and VPN server have established a secure channel of communication. This is referred to as an IPSec security association (SA). It is strongly recommended that you use either MS-CHAP v2 or EAP-TLS to provide the most secure user authentication that is available.

IPsec, kao što sam rekao, koristi tri standardne autentikacijske metode: preshared key, certifikati i kerberos.

Ne. PPP nije sam po sebi siguran protokol, obično nakon uspostave PPP konekcije paketi idu u nekriptiranom obliku. Ali ima neke opcionalne fičre kao što su ECP ili PPP enkripcijski algoritimi.

Hehe OK, dakle Microsoft u svojim implementacijama koristi i MSCHAP kao autentifikacijski protokol za IPSec. Nisam baš u microsoft vodama moram priznati, više mi paše Cisco.

Ne. MSCHAP uz ostale se može koristiti kao user-level autentikacijska metoda kod L2TP/IPsec tunneling protokola. Znači, kada se uspostavi tunel između klijenta i servera, korisnik se mora autenticirati da bi se preko VPN-a spojio na udaljenu mrežu. MS implementacija IPseca koristi tri standardne metode autentikacije: pre-shared key, certifikati i kerberos, od koje dvije prve se mogu koristiti kod machine-level autentikacije pri supostavi L2TP/IPsec tunela. L2TP/IPsec nije samo IPsec.

Ti pričaš o L2TP/IPSec a ja o IPSecu.

Dakle dobro sam rekao. IPSec ne kotisti CHAP, MSCHAP (bilo koje verzije) za autentikaciju bilo kojeg dijela paketa.

Dobro, ako ćemo baš navlačiti mak na konac - prvo se pričalo o L2TP/IPsec VPN-u, ti si tvrdio nešto za taj protokol, a ja sam utvrdio nešto suprotno. U kojem momentu si ti prešao samo na IPsec, ne znam...

U momentu prije nego što si se ti uključio u raspravu. Ako malo bolje pročitaš.

Evo čitam:
Što nije točna tvrdnja za L2TP/IPsec. Jerbo je L2TP/IPsec malo više od samoga IPseca. I onda se ja uključujem u raspravu, vezano uz tu tvrdnju za L2TP/IPsec:
Ali ne. Mi moramo navlačiti mak na konac, jer smo nepogrešivi i sveznajući...
:D

Nipošto nisam nepogrešiv haha. Pitaj samo moju ženu :)

Ono što sam misio reći, no nisam se možda u potpunosti dobro izrazio jest da je L2TP/IPSec u biti IPSec + L2TP. A što sam time mislio reći? Pa upravo da se u samom payloadu IPSec-a prenosi L2TP. Kada se terminira IPSec, tada se kreće u terminaciju L2TP.

Dakle, IPSec _ne_ koristi CHAP, MSCHAP i kompaniju, te protokole koristi L2TP. Se sad slažemo oko svega?

Evo mene opet pa da ne otvaram bezveze jos jednu temu nastaviti cu ovdje:D

Hm, neke stvari mi malo onako nisu bas skroz jasne sto se tice dns-a....

1.delegation of a dns domain

2. dns suffix (primary and connection specific suffix, append parent suffixes of the primary dns suffix, append these dns suffixes (in order)


Za ove dvije gore stvari ne trebam definiciju sto je to... to sve znam... ono sto trebam je hm, nekakv primjer iz stvarnog zivota kako i kad se to koristi?

U glavi znam definiciju i onda kad dobijem nekakvo pitanje i nekakav primjer gdje se to koristi ja se redovno zeznem kod odgovora.


I neke stvari kod root zone me zbunjuju... Kada konfiguiramo na dns serveru root zone, server sebe smatra autorativnim, na "vrhu piramide" te nikada ne salje querie koje ne moze resolvati van na internet... barem bi tako trebalo biti...


Tocan odgovor je a) i d)

Ali ako konfiguiramo root zone na serveru3, DNS server nece "ici" na internet resolvati querie koje mu salju clienti... Malo mi je nejasno kako moze ovdje tocan odgovor biti da konfiguiramo root zone na serveru 3?