[sisyphus] Re: SSH +ldap

[Andrei Bulava]

Michael Shigorin wrote:
> On Sun, Apr 17, 2005 at 11:10:37PM +0400, Gor_lov aka Stalker wrote:
> [stunnel skipped]
> 
>>>>Есть ли более простой путь через терни к звёздам?
>>>
>>>vtun?
>>
>>Есть ли бы я знал...  Щас вот в раздумьях что лапать -stunel или vtun.
>>Кто из них проще в настройке и по "безопаснее"?
> 
> 
> IMHO второе.  Потому-то первое и было скипнуто.

Насчёт "vtun безопаснее" - надо читать 
http://www.cs.auckland.ac.nz/%7Epgut001/pubs/linux_vpn.txt и дрожать (2 
раза). Как справедливо заметил автор, использование шифрования самого по 
себе ничуть не гарантирует безопасности.

После прочтения не возникает желания использовать ничего, кроме OpenVPN
(http://openvpn.sourceforge.net/) или KAME's IPsec utilities 
(http://ipsec-tools.sourceforge.net/).

Я, конечно, не эксперт по криптоустойчивости, но лучше уж перебдеть, чем 
недобдеть. В этом плане имеющийся в Sisyphus ipsec_tunnel немного 
подмочен в http://www.linux-magazine.com/issue/39/VPN_Insecurity.pdf, 
"there’s ... something like ipsec_tunnel 
http://ringstrom.mine.nu/ipsec_tunnel/ to retrofit to older ones. 
ipsec_tunnel is an extremely lightweight (38K of source code) IPsec ESP 
implementation, although it appears to be missing some functionality 
such as the sliding-window replay protection that would have to be added 
to provide proper security."

-- 
// AB1002-UANIC