Ja znam realne pripady nasazeni, kdy je ('dobrovolne') pouzivan ESP mode bez soucasneho pouziti AH - ackoliv by samozrejme autentizace "vnejsich" hlavicek zapouzdrenych paketu byla v zasade mozna. V mnoha pripadech totiz takove nasazeni neprinasi zadne realne vylepseni bezpecnosti - cimz nevylucuji, ze v konkretnich pripadech to muze byt jinak - ostatne, v pripade bezpecnosti je vzdy nutne provest analyzu konkretniho problemu a reseni prizpusibit realnym loklanim podminkam, potrebam a situaci.
Názor k článku
ADSL: další podpisy
Dan Lukes (neregistrovaný)
5. 3. 2003 11:39
Re: NAT
celé vlákno
Ve skutecnosti je to tak, ze AH a ESP mode jsou kazdy urceny pro zajisteni trochu neceho jineho a obecne nejsou rozhodne zamenne jeden za druhy. AH zajistuje autenticitu hlavicek paketu - tedy zjednodusene to, ze paket opravdu byl odeslan tamodsud odkud je psano, ze byl odeslan a ze cilova adresa je take autenticka. Nezajistuje ale ani neporusenost obsahu dat a ani jeji utajeni.ESP mode zajistuje prave neporusenost celeho paketu (tedy hlavicek i dat) a zajistuje i jeho utajeni.
