From 5990ef1243d356aac4686e9357fc85f945eba3c5 Mon Sep 17 00:00:00 2001 From: Sergey Matveev Date: Wed, 22 Jan 2020 16:30:19 +0300 Subject: [PATCH] =?utf8?q?=D0=9D=D0=B0=20=D1=80=D0=B0=D0=B1=D0=BE=D1=82?= =?utf8?q?=D0=B5=20=D1=80=D0=B0=D1=81=D1=81=D0=BA=D0=B0=D0=B7=D0=B0=D0=BB?= =?utf8?q?=20=D0=BF=D1=80=D0=BE=20IPsec=20(ESP,=20IKEv2,=20PF=5FKEY)?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit Освежевал память свою на эту тему. Обратил внимание что в PF_KEY при добавлении SP можно задавать ожидаемые идентификаторы сторон. А это значит что я по сути могу просто в своём приложении для сокета вызвать setsockopt и передать желание безопасного соединения с адресом какого-нибудь банка и явно передать что я ожидаю что он представится доменом или как-то ещё. Ядро это увидит, оповестит IKE, тот согласует SA и аутентифицирует стороны. В принципе это абсолютно полная замена TLS. Но посмотрел в исходники FreeBSD и увидел что передать то я могу идентификаторы, но никто их нигде использовать не будет. Исходники OpenBSD говорят что вроде бы всё ожидаемо будет учтено. strongSwan исходники говорят что он подобные SP требования из PF_KEY учитывать будет только под Linux. FreeBSD тут плетётся где-то сзади, что неприятно. Я уже обнаруживал что ESN в ней не поддерживается для ESP, что на современных быстрых жирных сетях вообще крайне желательно бы иметь. Ещё я заметил что IPsec FreeBSD чуть ли не полностью сделан Яндексом, судя по всему. Оно то конечно всё работает, но на определённом множестве промышленных задач, а не всяких мелочей ДЦ корпорациям не сдавшихся. Прям захотелось взять и перейти на OpenBSD! Но... отсутствие ZFS -- критично, невысокая производительность и масштабируемость неприятны. Прям хоть в виртуалку под FreeBSD ставь OpenBSD для работы с сетью. -- 2.48.1