<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Привіт,<br>
</p>
<div class="moz-cite-prefix">On 18.10.2021 11:03, Volodymyr
Yakovenko wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CAHus3uLSU6NKX6ubBW1ykiMGJ5T++57k7M6FX7c+ojb38XsQyg@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div dir="auto">
<div>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Fri, 15 Oct 2021,
17:12 Volodymyr Litovka, <<a
href="mailto:doka@funlab.cc" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">doka@funlab.cc</a>>
wrote:<br>
<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div> здається, дуже давно настав час або для macsec,
або для запровадження IPv6 з його вбудованим та легко
доступним IPSec.
<p>Але, наприклад, найпоширеніший віртуальний
комутатор - OVS - не підтримує macsec. Як багато h/w
виробників підтримують macsec?<br>
</p>
</div>
</blockquote>
</div>
</div>
<div dir="auto">Давай з іншого боку - PHY або switching ASIC з
вбудованим MACsec вже деякий час mainstream.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Ну і софтову частину з MKA вже допиляли.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Але наскільки я бачу MACsec використовують
здебільшого для switch/router-switch/router links.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Про large deployments switch-machine MACsec я
не чув.</div>
</div>
</div>
</blockquote>
<p>MACSEC - це технологія локальної мережі, яка є зручною тільки
коли комутатори підтримують macsec (інакше приходиться городити
full mesh macsec, що не має жодного шансу). Але далі починається
LAN over WAN й фантазувати з приводу різних варіантів деплоя стає
важко :) And again - OVS не підтримує macsec, що практично
унеможливлює його (macsec) використання у публічних клаудах.</p>
<p><br>
</p>
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<p>Про темпи запровадження IPv6 не казав вже тільки лінивий,
але що мені цікаво в контексті теми - як багато розробників
користуються вбудованим IPsec в IPv6 середовищі?</p>
</div>
</blockquote>
</div>
<blockquote type="cite"
cite="mid:CAHus3uLSU6NKX6ubBW1ykiMGJ5T++57k7M6FX7c+ojb38XsQyg@mail.gmail.com">
<div dir="ltr">
<div dir="auto">
<div dir="auto">Про це Нетч суперово відповів.</div>
</div>
</div>
</blockquote>
<br>
<p>Я одразу коментую й Нетча коментар :)<br>
</p>
<p>TLS - це, за великим рахунком app layer. Той факт, що його
натягнули на VPN, не робить його стандартом. З точки зору додатку
- це важкий механізм: кожен додаток має встановлювати захищене
з'єднання upon demand (зручно з точки зору транзакційності, але
важко з оглядом на встановлення), або встановити постійний канал
та використовувати його (що додає своїх складнощів - з транзитними
файрволлами або з додатковими механізмами ідентифікації транзакції
в каналі загального користування).</p>
<br>
Ідеальним рішенням є встановлення множини захищенних тунелей й
відмови шифрування на рівні app, але plenty of TLS VPNs - не
стандартизовані, wireguard/тощо - це суто policy-based encryption
(e.g. OSPF'ом там не пахне), а з IPSec теж є проблема сумісності -
досі (!!!) не всі реалізації підтримують tunnel-based VPN (щоб,
наприклад, запускати dynamic routing в шифрованій мережі), тому це
теж важко назвати універсальним рішенням.<br>
<br>
Мені йдеться (я не пробував, though) про те, що наявність
стандартизованого IPSec в IPv6 мало б зняти щонайменше два питання:
(1) сумісність реалізацій та (2) наявність стандартизованого
готового механізму в будь-якому пристрої (тут я вже про IoT згадав -
не треба портувати будь-що на який-небудь грьобаний датчик,
наприклад - все, що треба, є згідно із RFC).<br>
<br>
Ретроспективно - це могло БИ взагалі не дати розвинутись поштовху
для виникнення всіх ціх TLS та інших милиць для захисту даних.<br>
<br>
<br>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison</pre>
</body>
</html>