OpenVPN vs IPsec
Какое VPN-соединение более надёжно: OpenVPN или IPsec (Openswan). Если можно, посоветуйте хостинг. Какое более универсально при проходе через провайдера. (Провайдер даёт серый адрес и подключение к PPTP-серверу)
Верна ли следующая логика.
Пусть после VPN-сервера соединение идёт в Tor. Tor работает через SSL. Если VPN работает через IPsec, то различие протоколов (SSL и IPsec) повышает защищённость связи. Т.е. для перехвата информации необходима уязвимость в обоих протоколах.
OpenVPN идёт через SSL, как и Tor, следовательно уязвимость в SSL может скомпрометировать как Tor так и OpenVPN.
Таким образом, следует ли из этого что связка IPsec+Tor надёжней OpenVPN+Tor.
Не ясна схема вашей сети. Вы хотите сказать, что на всём сетевом маршруте пакеты информация идёт в "двух одёжках": вначале закрыта Ipsec'ом, а поверх протоколом Tor? Но сделать такое на всём маршруте можно только при использовании скрытых сервисов Tor. В противном случае будут участки пути, где есть только что-то одно (IPsec или SSL).
В интернете писали что-то про недоведённость до ума протокола IPsec в плане безопасности, типа он вызывал нарекания у спецов, к тому же вещь достаточно сложная (по сравнению с SSL). Впрочем, к самому SSL тоже есть нарекания, хотя это не мешает всем его активно использовать. Чисто идеологически IPsec лучше чем SSL, т.к. более универсален и ширфует не на уровне туннеля, но на уровне IP-пакетов, что приводит к меньшему оверхеду по сравнению с VPN.
комментариев: 9 документов: 5 редакций: 0
От локальной машины до VPN-сервера IPsec+SSL (наиболее критический участок маршрута), от VPN-сервера до выходного узла Tor только SSL.
После Тора наверное логично использовать какой-нибудь статический https-прокси. Если предположить что в Торе много кротов, то это уменьшит распыление информации. Пусть лучше она снимается с одного конечного https-прокси, чем со всего подмножества Тор-узлов которые подняты в шпионских целях.
комментариев: 1060 документов: 16 редакций: 32
С NAT у IPSec проблемы будут.
Были не до конца прояснённые тонкости, когда начинали рыть вглубь.
[offtop]
Уважаемый SATtva, не могли бы Вы прикрутить поддержку поиска по комментариям unknown'а? Со временм становится всё трудней и трудней находить релевантные посты :-(
[/offtop]
комментариев: 9796 документов: 488 редакций: 5664
Если вы не знаете чем IPSec лучше OpenVPN, используйте OpenVPN.
У IPSec могут быть проблемы с прохождением через NAT, сложности настройки и пока он имеет преимущества для больших промышленных решений, где нужны большие масштабы и объёмы.
И опять же, пока его в полном объёме не включат в ядро и не примут стабильный стандарт, лучше его пока не использовать.
Tor и OpenVPN используют библиотеку OpenSSL, но у них неодинаковые протоколы. Фундаментальные дыры в OpenSSL (как в случае Debian-OpenSSL-PRNG) могут повлиять конечно на оба, но могут быть уязвимости и приносящие ущерб в разной мере.
ситиunix kernel? Емнип, первой ОС где, он появился по умолчанию, была OpenBSD, причём оно там (якобы) работает искаропки и уж тем более поддердивается GENERIC-ядром. В других ОС можно включить в опциях ядра, и то, что они не включены by default означает лишь то, что большинству эти фичи не нужны, а объём ядра без необходимости не стоит увеличивать.Намедни:Из аннотаций к первомаю.
Не так страшен... как его малюют.
комментариев: 11558 документов: 1036 редакций: 4118
Поиск по постам определённого автора обязательно добавлю на днях.
Он уже реализован? Заодно хотелось бы увидеть мануал по тому, что здесь называется "стандартным поисковым синтаксисом".
[/offtop]
комментариев: 11558 документов: 1036 редакций: 4118
Нет, пока некогда.
Там дальше сразу после двоеточия написано. Операторы примерно те же, что у Гугла и Ко.