[d-kernel] IPSec

[Sergey Vlasov]

On Wed, 23 Jul 2003 19:02:13 +0300 (EEST)
Denis Ovsienko <pilot at dgtu.donetsk.ua> wrote:

> >  DO>  Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
> >  DO>  Второй --- админтул для модуля После установки имеем возможность
> >  DO>  получить статические туннели IPSec с shared static keys.
> > Статические - это как ?
> > А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> > А чем это круче, чем FreeS/WAN ?
> Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
> и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
> для подражания. Вот мои соображения:
> 1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
> необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
> порядочное подмножество этих функций (отсюда и модуль в 291 КБ).

Насчёт дублирования - это да (у него там ещё и zlib собственная).

> CIPE вообще, насколько я помню, наполовину работает в user-space.

В userspace у него, как и у FreeS/WAN, обмен ключами.

> ipsec_tunnel создаёт туннель средствами ядра.
> 3. Туннели статические. То есть администратор, определив алгоритмы и
> ключи шифрования/подписи в каждом направлении, больше ничего
> настраивать не должен.

В смысле - там что, ключи шифрования периодически не меняются
автоматически?