20strannik08, нормально ведет, авторизация проходит. Ессно она видна прокси, то есть если там параллельно сниффер работает, можно пароль попробовать выцепить. Это не проканает только если клиент точно знает серийник сертификата сервера - например заранее запомнил или HPKP.
Такое было актуально во времена помегабайтного тырнета, лет десять так назад. Для этого надо провести весьма немалую работу над закачаным файлом, притом, что https тогда был очень мало распостранен. И как совершенно верно заметил stratosmi - чтобы потрошить https-соединение, Вам понадобится ssl bump, то есть фиктивный CA сертификат на сервере, выпущенный неким CA, которому доверяет клиент. Тогда прокси подменяет сертификат адресата и может потрошить соединение - иначе для него оно - несжимаемая непрозрачная черная труба.
кто-то вам предъявит что потерял $100500 используя ваш код
Да запросто. Вы просто с такими людьми не сталкивались - сутяжники называются :) Вот простой пример - все знают, что кофе горячий и им можно обжечься. В Пиндосии у некоей тетеньки в руках по какой-то причине расползается бумажный стаканчик и она обжигает руку. Ессно подает в суд и... выигрывает! Потому что на стаканчике не было надписи, что кофе горячий :)
Есть предположение, что policy неверно, если это tunnel, а не transport. В src.address и dst. address в этом случае должны стоять внутренние подсетки. А реальные адреса концов туннеля - на закладке action, в полях sa src address и sa dst address
Отвечу вечером. В настройках тика Local address мне кажется излишним - у меня его нигде нет. И DH группу можно брать послабее - у меня стоит modp1024 - но это все смотрится по логам швана - прошла фаза 2 или нет.
На закладке Installed SAs в колонке Encr должен быть выбранный алгоритм, на закладке Auth - выбранный метод подписи (там может быть none), счетчики в Current Bytes должнеы обновляться, когда пинг проходит. И на закладке Policies в столбце PH2 State если фаза 2 прошла успешно - стоит established
trjflash, Не знаю, как работает GRE, но вот IPSec проходит тик дважды - как впрочем и iptables тоже - первый раз зашифрованный, второй раз расшифрованый. Поэтому фактически для IPSec маршрутизация не нужна - ее заменяет policy. Там главное NAT-ом пакет не поломать :) потому что у IPSec есть контрольная сумма, а после NAT - она сходиться перестает и пакет отбрасывается :)
Примеры есть. Я целую тестовую сеть строил - тик, за которым тачка, центос, за которым тачка.
RigidStyle, Вы теоретическую работу о шифровании в идеальном сферическом мире пишете, да? Без модели нарушителя (без принятия решения - от кого Вы защищаетесь) - все Ваши выкладки - это просто блабла. От абстрактного нарушителя - абстрактная защита. Конкретная защита всегда включает в себя оценку конкретной необходимости защиты. И как правило, чем выше защита - тем она дороже.
Вы чего в этот винрар уперлись? Когда я говорю - нормальное шифрование - это значит как минимум AES-256. Идите, считайте, сколько будете брутить :)
Вы бы сначала модель нарушителя сказали что ли... От соседа-жены-работодателя сгодится и такая защита. От государства. ..Видите ли - паяльник в #опе - очень неприятная вещь...
Владислав Лысков, так смысл был в том, чтобы погрузиться в среду - то есть делать ежедневные действия. Хочешь например, порнушку - изволь узнать, как оно пишется на родном языке ;) и результаты поиска читать придется тоже на нем.
Мне например нормально заходило читать ВН на английском. Причем, на русский перевода просто нет :)
maniac_by, Метод. Не нужно ходить к компу юзера. Подцепился и оболочка сама может поставить клиента, если его нет. Причем, если клиента настроить заранее, его можно поставить в "тихом" режиме - когда юзер не видит, что за ним наблюдают. А если использовать не DMRC, а DMNT - там вообще например можно зашатдаунить комп с сообщением юзеру - я например так тачку ребенку гашу, когда он буракосит и спать не идет...
