forum.opennet.ru

"Анонсирована внутриядерная реализация WireGuard для OpenBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"	+/–
Сообщение от Ананимус (?), 12-Май-20, 23:08
> Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии... > Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси). В Wireguard есть опциональный Preshared Key на этот случай. Учитывая, что нет готового решения для пост-квантовой криптографии (кроме PSK), я не понимаю, чего ты конкретно хочешь :D > Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах... Логи SSH? Глазами? Серьезно? :D > Какой OpenAccess? OpenVPN Access. Ынтырпрайз для любителей OpenVPN. > Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ. Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете? Ну и политики в /etc/ssh тоже должны как-то попадать :D Если вы добавляете это все руками, то это просто комедия. Если вы пушите это через Ansible/Puppet/Chef, то расскажи мне САКРАЛЬНУЮ РАЗНИЦУ В БЕЗОПАСНОСТИ между записью файликов в /etc/ssh, и записью файликов в /root/.ssh/authorized_keys, ~user1/.ssh/authorized_keys. Учитывая, что делать это нужно на тех же самых SSH хостах :) > Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов? Какой сотней серверов, если речь про Wireguard? Который VPN? У тебя сто VPN серверов? :D > Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ можно организовать. Тока ты забыл про одну маленькую деталь. Сертификат для проверки CA тоже нужно как-то доставить клиенту :D
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Анонсирована внутриядерная реализация WireGuard для OpenBSD, opennews, 12-Май-20, 07:50 [смотреть все]

Ну вот наконец и в BSD завезли Технологическое отставание BSD от Linux слегка с, Аноним, 12-Май-20, 08:24 (2) //
- Быстрый ВПН шлюз единственная сфера применения OpenBSD , Аноним, 12-Май-20, 10:07 (9) //
  - Быстрый что-либо - это вообще не про openbsd Вот интересно, почему автор выбрал , пох., 12-Май-20, 12:11 (24) //
    - самая маргинальная и ненужная-fragonfly, чуть менее netbsd Опенок частенько вст, Аноним, 12-Май-20, 13:28 (39)
      - dragonfly вообще-то вполне себе нужная - а то так и останетесь с мертвыми по лиц, пох., 12-Май-20, 13:35 (43)
        
        опенка в штатах крепко припрягла одна компания занимающаяся разработкой дронов б, анонимуслинус, 12-Май-20, 15:32 (71)
        Ты до сих пор не осилил администрирование OpenBSD А как надувал щеки , Аноним, 12-Май-20, 17:52 (87)
        Пох, ты все знаешь Подскажи что-то умное Есть мать на чипсете Intel G41 Хотело, Аноним, 13-Май-20, 07:22 (129)
        
        включаешь дебаг загрузки гугли , лучше - перенаправив всю ботву в serial port, , пох., 14-Май-20, 11:39 (137)
        
        Десять лет, говоришь Нагуглил нотабуг, подозрительно напоминающий то, что вижу , Аноним, 16-Май-20, 03:52 (155)
        Переписал на бумажку сообщения загрузчика CODE FreeBSD x86 bootstrap loader, Re, Аноним, 16-Май-20, 16:49 (156)
        
        Ну, вообще-то, не notabug, а исправлено, но пока не попало в релизы Вполне допус, пох., 16-Май-20, 17:07 (157)
        
        Что необычного в чипсете Intel G41 ICH7 и процессоре Intel Core 2 Проблема был, Аноним, 16-Май-20, 18:50 (161)
        
        --Status NewReported 2019-11-20 12 03 UTC by Dave CottlehuberModified 2020-04, Аноним, 16-Май-20, 18:07 (159)
        
        Ты хоть немножко догадываешься, клоун, кому ты это пишешь , Аноним, 16-Май-20, 18:40 (160)
        
        Очередному эталону двойных стандартов, хамлу вы мне все должны, патамушта я так, Аноним, 16-Май-20, 20:14 (163)
        
        netbsd вообще не используется и служит толька для обкатки бредовых идей, БреттонВудс, 13-Май-20, 08:37 (130)
        Есть ещё вопросы к опытным собаководам В настройках pkg предусмотрены пути следу, Аноним, 14-Май-20, 07:42 (133)
        
        ну ты бы еще на кружке любителей анального рестлинга эти вопросы задавал, в пауз, пох., 14-Май-20, 08:19 (134)
        
        То не так, что архивы пакетов и всего -- где Я могу тебе сказать, где живут арх, Аноним, 14-Май-20, 08:49 (135)
        
        в помойке - сколько их хранить и на чьи деньги Но тебе никто не мешал смиррорить, пох., 14-Май-20, 11:24 (136)
        
        Вообще-то хранить надо навсегда Для этого, в конце концов, даже специальные фай, Аноним, 14-Май-20, 11:59 (142)
        
        ну, храни и где же твое зеркало Опачки - из твоего личного-то кишенька оказывае, пох., 14-Май-20, 12:37 (143)
        
        Если не знаешь ответа на мой вопрос, то и напиши прямо, а столь многословное 1, Аноним, 14-Май-20, 19:02 (152)
        я знаю ответ на твой вопрос - стерто нахрен, потому что денег из воздуха - нет , пох., 16-Май-20, 17:19 (158)
        Ну раз так, то туда ей и дорога Надеюсь, ты догадываешься, какие в мире чистога, Аноним, 16-Май-20, 19:33 (162)
        абсолютно нормальные В те времена, когда don t ask what linux can do for you, , пох., 17-Май-20, 13:13 (164)
        Сейчас это затруднительно сказать, пожалуй, даже о Слаквари Патрик, вроде, ещё , Аноним, 17-Май-20, 22:03 (165)
        и ломают ее к хренам Потому что это обновление сделано васяном для своей единст, пох., 17-Май-20, 23:14 (166)
        Тогда для кого всё это СПО Только для программистов Или я чего-то не понимаю , Аноним, 18-Май-20, 11:15 (167)
        
        А если, поклацав по зеркалам, найду http pkg0 nyi freebsd org FreeBSD 8 i386 l, анонн, 14-Май-20, 18:43 (151)
        
        Вы там на кассе, а я у вас что-то покупаю Если нет -- не задавайте незнакомым л, Аноним, 14-Май-20, 22:02 (153)
        
        Эталон двойных стандартов из палаты мер и весов , Аноним, 14-Май-20, 23:28 (154)
      - Маргинальная ОС - это TempleOS, например Применять эту характеристику по отно, Дон Ягон, 12-Май-20, 13:45 (48)
      - между прочим стрекоза используют собственную FS HAMMER может ли этим похвастать, expert, 12-Май-20, 14:16 (53)
        
        А за чем этим хвастаться Я бы, скорее, сказал, что ФС Dragonfly не нашла примен, _MadeInRussia_, 12-Май-20, 15:01 (60)
    - От любви большой On a personal note, I ve kind of gazed enviously at OpenBSD fo, Дон Ягон, 12-Май-20, 13:36 (44)
      - ни х не понял Но очень интересно , Bob, 12-Май-20, 17:20 (81)
      - Вот оно че, Михалыч Даа, чую под более распространенные системы ждать не приход, пох., 12-Май-20, 17:38 (84)
    - потому что авторы нужных и немаргинальных пока жуют сопли , Я, 12-Май-20, 22:10 (114)
      - авторы open тоже пальцем не пошевелили - за них все сделал собственно изобретате, пох., 14-Май-20, 11:43 (138)
    - Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал , Аноним, 12-Май-20, 23:27 (125)
      - чисто случайно им оказался человек-разработчик оригинального проекта Взяли и сд, пох., 14-Май-20, 11:45 (139)
- жаль что разрабы плюют на их поклоников 2020 год, до сих пор нет поддержки SSD , expert, 12-Май-20, 12:53 (30)
Извините, но где видно что это в ядре , Anonymou, 12-Май-20, 08:49 (3) //
- В новости написано же , Анони м, 12-Май-20, 08:51 (4)
- Последняя ссылка в первом параграфе , Аноним, 12-Май-20, 09:13 (5)
масленница пришёл ух, заживём теперь , б.б., 12-Май-20, 09:16 (6)
Надеюсь на разумность разработчиков openbsd и они не будут включать это в ядро , Анончик, 12-Май-20, 09:28 (7) //
- Неплохая шутка, НяшМяш, 12-Май-20, 15:06 (65)
Тащат годноту под свою недолицензию , Аноним, 12-Май-20, 10:06 (8) //
- Так не они тащат, а авторы WireGuard им сами запилили и просят взять под недолиц, Аноним, 12-Май-20, 12:04 (23)
- такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в винду вст, Я, 12-Май-20, 22:12 (115) //
  - в винде все нормально с 3dparty софтом, включая такой который требует ядерных др, пох., 14-Май-20, 11:47 (140)
https git zx2c4 com wireguard-openbsd tree src patches mbuf h patchСтранное из, Ivan_83, 12-Май-20, 10:08 (10) //
- В LibreGuard много чего выкинут, Аноним, 12-Май-20, 10:10 (11)
- Он не использовался в дереве, они, видимо, решили его зарецайклить , Ананимус, 12-Май-20, 10:15 (12) //
  - Плохо, что cover letter такой неподробный Патч явно заслуживает быть разбитым н, Ананимус, 12-Май-20, 10:16 (13) //
    - С проектами, где засветился Доненфилд вообще нужно быть очень аккуратным Быстры, Анотолей, 12-Май-20, 11:34 (19)
      - Откуда дровишки про кадрового офицера В гугле ничего нет Аудит сторонними крип, Ананимус, 12-Май-20, 12:00 (21)
        
        Гугл тебе взял и выдал всех агентов под прикрытием, Аноним, 12-Май-20, 12:26 (25)
        
        То есть тебе рептилоиды с Марса по секрету рассказали или что , Ананимус, 12-Май-20, 12:40 (28)
        
        Вы не в состоянии различать разных комментаторов, ищите инфу об АНБ в гугле, огр, Анотолей, 12-Май-20, 13:06 (32)
        
        Тогда зачем вы это публикуете Очевидно же что вас попросят предоставить доказат, Аноним, 12-Май-20, 13:32 (42)
        
        Опеннет посещают не только redeye 8217 и, но и действующие сотрудники, просто и, Анотолей, 12-Май-20, 13:53 (49)
        
        Чтд Вся жизнь по гуглу , Анотолей, 12-Май-20, 14:07 (52)
      - Кашмар-то какой, кругом импланты А ничего что OpenBSD в свое время разрабатывал, Аноним, 12-Май-20, 12:00 (22)
        
        Не только МО и не только лишь тогда До сих пор КСРБ рядом с Тео трется Но что, Анотолей, 12-Май-20, 13:09 (33)
      - Такой себе ремэйк наброса про бэкдор ФБР в опенбсдшной реализации ipsec https , Дон Ягон, 12-Май-20, 13:21 (36)
И как все это согласуется с лицензионной точки зрения, часть кода WireGuard чт, Сергей, 12-Май-20, 11:07 (15) //
- ты видимо путаешь копирование-портирование кода и с нуля написанная реализация , Аноним, 12-Май-20, 11:09 (16)
- Изначальный автор WireGuard а с нуля написал wireguard специально для OpenBSD , Аноним, 12-Май-20, 11:11 (17) //
  - А вообще странно В чём был смысл не использовать сразу открытую лицензию, а не , iPony129412, 12-Май-20, 12:36 (27) //
    - Потому что засунуть ISC в Linux довольно тяжело , Ананимус, 12-Май-20, 12:41 (29)
  - А кому какая разница, что там с лицензионными тонкостями Главное, что 1 работа, IRASoldier_registered, 13-Май-20, 10:36 (132)
А чем он лучше strongSwan , Lockywolf, 12-Май-20, 12:36 (26) //
- IPSec большой и сложный, WG влезает в три тыщи строк на OpenBSD , Ананимус, 12-Май-20, 13:00 (31) //
  - in-kernel ipsec в разы проще И вряд ли занимает 3000 строк, да и тех половина о, пох., 12-Май-20, 13:31 (41) //
    - cloc net ipv4 esp4 c net ipv6 esp6 c net xfrm c 18 text files 1, Ананимус, 12-Май-20, 13:38 (45)
      - Правда это линукс, щас в open посмотрю , Ананимус, 12-Май-20, 13:39 (46)
        
        cloc sys netinet ipsec_ c sys netinet psp c sys net pfkeyv2 7 text f, Ананимус, 12-Май-20, 13:44 (47)
        
        ну так чудо-вайргад-то тоже поди без udp померян - без которого он не жизнеспосо, пох., 12-Май-20, 17:09 (80)
        
        А без него типа UDP кода в ядре не будет, лол , Ананимус, 12-Май-20, 18:37 (89)
    - Ну как бэ механизмы обмена ключами к IPSEC относиться весьма косвенно IPSEC и н, bOOster, 12-Май-20, 14:36 (55)
      - в целом - работает, только как его включить в именно open - мне на самом деле, пох., 12-Май-20, 17:23 (82)
        
        Тут http www openbsd org faq faq17 html написано, как, примерно, это делается , Дон Ягон, 12-Май-20, 21:58 (111)
        
        Не работает то что ты не смог прочитать работа ipsec без ike в принципе Наскол, пох., 14-Май-20, 11:50 (141)
        
        Я действительно пропустил про без ike и обратил внимание только на симметричны, Дон Ягон, 14-Май-20, 13:14 (144)
        
        тем что демон дыряв by design И там где я могу не бояться одновременно гугля, ns, пох., 14-Май-20, 15:14 (145)
        
        Security Associations can be set up manually with ipsecctl 8 or automatically , Дон Ягон, 14-Май-20, 15:56 (147)
        
        описания ipsec почитать, вероятно Ну или просто оценить количество ручек-глючек-, пох., 14-Май-20, 16:05 (148)
        
        А, ты об этом В этом я с тобой скорее согласен Но я думал у тебя какие-то конкр, Дон Ягон, 14-Май-20, 16:46 (149)
        Нет, я даже вполне мог бы поверить до недавних детских ошибок что он не хуже и, пох., 14-Май-20, 17:13 (150)
  - ЧЕ там большого и сложного IKE , bOOster, 12-Май-20, 14:42 (56) //
    - В StrongSwan примерно 350 тысяч строк кода _только_ на C , Ананимус, 12-Май-20, 14:54 (59)
      - Ты мух то от котлет отдели, там напихано все что только можно А в реальной эксп, bOOster, 12-Май-20, 15:03 (61)
        
        Ну так это и называется большой и сложный Шансов обосраться с очередным zero , Ананимус, 12-Май-20, 15:05 (62)
        
        https cve mitre org cgi-bin cvekey cgi keyword strongswan29 эксплоитов с 2004 , lockywolf, 12-Май-20, 15:40 (72)
        
        Сколько из них ещё не нашли Сколькими из них не поделились , Ананимус, 12-Май-20, 15:54 (73)
        
        Ну так и в wireguard непонятно сколько , lockywolf, 12-Май-20, 16:02 (75)
        
        Wireguard В котором 3 5k строк Который можно целиком за вечер прочитать , Ананимус, 12-Май-20, 16:03 (76)
        
        Ну, ниже уже написали, что в ядерном ipsec те же самые 3000 строк А для того, ч, lockywolf, 12-Май-20, 16:06 (77)
        
        Ты думаешь там 400 тыщ строк кода, которыми никто не пользуется , Ананимус, 12-Май-20, 16:09 (79)
        ну, вообще-то, в целом ДА - Во всяком случае, этих удивительных особей уче, пох., 12-Май-20, 17:26 (83)
- ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и, пох., 12-Май-20, 13:29 (40) //
  - Ну, демон наверняка появится Просто к гадалке не ходи, вся эта пки просто так н, Lockywolf, 12-Май-20, 14:42 (57) //
    - В Wireguard нет PKI, нет revocation листов и прочей ерунды Просто два чувака об, Ананимус, 12-Май-20, 14:52 (58)
      - Кто тебе мешает самому написать свой интерфейс управления conf файла wireguard , Аноним, 12-Май-20, 15:07 (66)
        
        А зачем мне все это писать если он и так отлично работает , Ананимус, 12-Май-20, 15:08 (67)
      - В SSH есть CA, revocation lists и всё такое , lockywolf, 12-Май-20, 15:58 (74)
        
        Это нужно только для подписанных ключей , Ананимус, 12-Май-20, 16:08 (78)
        
        Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью , OpenEcho, 12-Май-20, 20:36 (97)
        
        Правда SSH не умеет шарить все это самостоятельно и все публичные CA ключи все р, Ананимус, 12-Май-20, 22:09 (113)
      - Ерунды говоришь А если у тебя клиентов размером в четыре циферки С PKI админ под, OpenEcho, 12-Май-20, 18:26 (88)
        
        В случае с новой игрушкой админ пишет в git репозиторий и нажимает git push , п, Ананимус, 12-Май-20, 19:53 (94)
        
        Вот именно - привлечение кучи git, ansible python стороннего софта, открывающ, OpenEcho, 12-Май-20, 20:26 (95)
        
        Если у вас нет в конторе нет системы деплоя ansible, chef, puppet, whatever , т, Ананимус, 12-Май-20, 20:32 (96)
        
        Деплой и контроль над доступом - принципиально разные вещи Деплоить ключи через , OpenEcho, 12-Май-20, 20:47 (99)
        
        Шта Какая тебе разница, что деплоить на сервера , Ананимус, 12-Май-20, 21:03 (100)
        
        Разница только в том, что меня немедленно попрут с работы, если я начну деплоить, OpenEcho, 12-Май-20, 21:28 (104)
        
        Ну так это проблемы твоей работы, что я могу сказать , Ананимус, 12-Май-20, 21:40 (107)
        
        Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера зальют telnet и, Ананимус, 12-Май-20, 21:03 (101)
        
        Ок, я все понял, деплойте дальше доступ через ansible , OpenEcho, 12-Май-20, 21:30 (105)
        
        Ты так говоришь, как будто это что-то плохое , Ананимус, 12-Май-20, 21:39 (106)
        Я уже ответил, - чем это плохо, не знаю , что еще добавить , OpenEcho, 12-Май-20, 21:49 (108)
        Нет, не ответил Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо , Ананимус, 12-Май-20, 21:51 (109)
        Читай выше, если тебе коненчо это надо , OpenEcho, 12-Май-20, 23:08 (121)
        Не знаю, боишься ansible Ну сливай файлик с ключами wget ом раз в 5 секунд с If, Ананимус, 12-Май-20, 21:56 (110)
        Добавлять, имхо, и нечего, ты всё правильно сказал , Дон Ягон, 12-Май-20, 22:03 (112)
        Кроме того, что публичный ключ CA и revocation list все равно придется раскидыва, Ананимус, 12-Май-20, 22:17 (116)
        Публичный ключ и crl - не есть секрет , OpenEcho, 12-Май-20, 23:09 (123)
        Публичный ключ в authorized_keys добавлются публичные ключи, лол ВНЕЗАПНО тоже, Ананимус, 12-Май-20, 23:13 (124)
    - Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI весь, bOOster, 12-Май-20, 15:06 (63)
      - Сорри IKE , bOOster, 12-Май-20, 15:06 (64)
      - НО ЗАЧЕМ Весь профит Wireguard в том, что он тупой как валенок Это же прекрасн, Ананимус, 12-Май-20, 15:09 (68)
        
        Не спорю - прекрасно, но ключики - стоящие годами на VPN - это очень плохая прак, bOOster, 12-Май-20, 15:12 (69)
        
        Почему Для публичных сертификатов критически важно иметь expiration date, потом, Ананимус, 12-Май-20, 15:15 (70)
        
        А вы пробывали CRL держит только подписанные CN имена, и если у вас CRL больше, OpenEcho, 12-Май-20, 18:51 (90)
        
        Представь, что у сертификата нет expiration date и тебе нужно хранить все сертиф, Ананимус, 12-Май-20, 19:13 (92)
        
        Вы о чем Представь что ты птица, но ты не птица и тебе надо учитывать таких пти, OpenEcho, 12-Май-20, 21:20 (102)
        
        О господи ты вообще прочитал на что отвечаешь По-моему, нет , Ананимус, 12-Май-20, 21:25 (103)
        
        Для малого бизнеса и для дома пойдет, но не для серьезного бизнеса Управлять , OpenEcho, 12-Май-20, 19:02 (91)
        
        Для site2site туннелей это вообще идеальная штука Для b2b тоже Ну да, ну да, SS, Ананимус, 12-Май-20, 19:18 (93)
        
        Все зависит от необходимости уровня защиты сети, размера сети, похеризма и паран, OpenEcho, 12-Май-20, 22:58 (120)
        
        В Wireguard есть опциональный Preshared Key на этот случай Учитывая, что нет го , Ананимус, 12-Май-20, 23:08 (122)
        
        Канал передачи ключей проверенный Я все никак догнать не могу, что смешного , OpenEcho, 12-Май-20, 23:58 (126)
        
        Какой верифицированный канал, лол Как ты CRL на сервер доставляешь , Ананимус, 13-Май-20, 07:11 (128)
        
        серьёзный бизнос - это там кде админ в танчики играет, вместо того чтобы работат, факен, 13-Май-20, 08:38 (131)
        
        Похоже Линус любит тупые вещи Сначала линукс, потом гит, теперь и эту поделку , Аноним, 12-Май-20, 22:29 (117)
        
        Тео тоже нравится , Ананимус, 12-Май-20, 22:31 (118)
Что скажет дядя Тео , Котовшив, 12-Май-20, 13:22 (37) //
- Не нужно , Аноним, 12-Май-20, 17:50 (85)
- Тео первым делом потроллил на тему инструкции по установке вида ftp 124 sh ht, Anonymous Coward, 12-Май-20, 20:41 (98)
Теперь црушный зонд и в опёнке будет, если примут , Аноним, 12-Май-20, 17:51 (86) //
- А то у них до этого момента там не было зонда Зонды и бэкдоры есть в каждой ОС , Аноним, 12-Май-20, 22:50 (119) //
  - да ты прав бро, радужные курвы25519 от рубинштейнера много куда запихали, вычист, мацад, 13-Май-20, 03:29 (127) //
    - тебе же почтальон Печкин из небезызвестного опуса - на практике показал, как име, пох., 14-Май-20, 15:19 (146)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру