<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p>Привіт,<br>

    </p>

    <div class="moz-cite-prefix">On 18.10.2021 11:03, Volodymyr

      Yakovenko wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:CAHus3uLSU6NKX6ubBW1ykiMGJ5T++57k7M6FX7c+ojb38XsQyg@mail.gmail.com">

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      <div dir="ltr">

        <div dir="auto">

          <div>

            <div class="gmail_quote">

              <div dir="ltr" class="gmail_attr">On Fri, 15 Oct 2021,

                17:12 Volodymyr Litovka, <<a

                  href="mailto:doka@funlab.cc" target="_blank"

                  moz-do-not-send="true" class="moz-txt-link-freetext">doka@funlab.cc</a>>

                wrote:<br>

                <br>

              </div>

              <blockquote class="gmail_quote" style="margin:0 0 0

                .8ex;border-left:1px #ccc solid;padding-left:1ex">

                <div> здається, дуже давно настав час або для macsec,

                  або для запровадження IPv6 з його вбудованим та легко

                  доступним IPSec.

                  <p>Але, наприклад, найпоширеніший віртуальний

                    комутатор - OVS - не підтримує macsec. Як багато h/w

                    виробників підтримують macsec?<br>

                  </p>

                </div>

              </blockquote>

            </div>

          </div>

          <div dir="auto">Давай з іншого боку - PHY або switching ASIC з

            вбудованим MACsec вже деякий час mainstream.</div>

          <div dir="auto"><br>

          </div>

          <div dir="auto">Ну і софтову частину з MKA вже допиляли.</div>

          <div dir="auto"><br>

          </div>

          <div dir="auto">Але наскільки я бачу MACsec використовують

            здебільшого для switch/router-switch/router links.</div>

          <div dir="auto"><br>

          </div>

          <div dir="auto">Про large deployments switch-machine MACsec я

            не чув.</div>

        </div>

      </div>

    </blockquote>

    <p>MACSEC - це технологія локальної мережі, яка є зручною тільки

      коли комутатори підтримують macsec (інакше приходиться городити

      full mesh macsec, що не має жодного шансу). Але далі починається

      LAN over WAN й фантазувати з приводу різних варіантів деплоя стає

      важко :) And again - OVS не підтримує macsec, що практично

      унеможливлює його (macsec) використання у публічних клаудах.</p>

    <p><br>

    </p>

    <div class="gmail_quote">

      <blockquote class="gmail_quote" style="margin:0 0 0

        .8ex;border-left:1px #ccc solid;padding-left:1ex">

        <div>

          <p>Про темпи запровадження IPv6 не казав вже тільки лінивий,

            але що мені цікаво в контексті теми - як багато розробників

            користуються вбудованим IPsec в IPv6 середовищі?</p>

        </div>

      </blockquote>

    </div>

    <blockquote type="cite"

cite="mid:CAHus3uLSU6NKX6ubBW1ykiMGJ5T++57k7M6FX7c+ojb38XsQyg@mail.gmail.com">

      <div dir="ltr">

        <div dir="auto">

          <div dir="auto">Про це Нетч суперово відповів.</div>

        </div>

      </div>

    </blockquote>

    <br>

    <p>Я одразу коментую й Нетча коментар :)<br>

    </p>

    <p>TLS - це, за великим рахунком app layer. Той факт, що його

      натягнули на VPN, не робить його стандартом. З точки зору додатку

      - це важкий механізм: кожен додаток має встановлювати захищене

      з'єднання upon demand (зручно з точки зору транзакційності, але

      важко з оглядом на встановлення), або встановити постійний канал

      та використовувати його (що додає своїх складнощів - з транзитними

      файрволлами або з додатковими механізмами ідентифікації транзакції

      в каналі загального користування).</p>

    <br>

    Ідеальним рішенням є встановлення множини захищенних тунелей й

    відмови шифрування на рівні app, але plenty of TLS VPNs - не

    стандартизовані, wireguard/тощо - це суто policy-based encryption

    (e.g. OSPF'ом там не пахне), а з IPSec теж є проблема сумісності -

    досі (!!!) не всі реалізації підтримують tunnel-based VPN (щоб,

    наприклад, запускати dynamic routing в шифрованій мережі), тому це

    теж важко назвати універсальним рішенням.<br>

    <br>

    Мені йдеться (я не пробував, though) про те, що наявність

    стандартизованого IPSec в IPv6 мало б зняти щонайменше два питання:

    (1) сумісність реалізацій та (2) наявність стандартизованого

    готового механізму в будь-якому пристрої (тут я вже про IoT згадав -

    не треба портувати будь-що на який-небудь грьобаний датчик,

    наприклад - все, що треба, є згідно із RFC).<br>

    <br>

    Ретроспективно - це могло БИ взагалі не дати розвинутись поштовху

    для виникнення всіх ціх TLS та інших милиць для захисту даних.<br>

    <br>

    <br>

    <pre class="moz-signature" cols="72">-- 

Volodymyr Litovka

  "Vision without Execution is Hallucination." -- Thomas Edison</pre>

  </body>

</html>