OpenVPN nesifruje?

Dan Lukes dan at obluda.cz
Wed Sep 19 14:10:28 CEST 2007


Radek Tománek napsal/wrote, On 09/19/07 13:40:
> nechal jsem ho poslouchat na tap0 a packety, které jsem zachytil 
> byly normálně čitelné.

> 1. tunel je navázán ale nešifruje
> 2. wireshark získá packety až po jejich rozšifrování

	2 je spravne. A taky 3 je spravne (WireShark ziskava pakety pred jejich 
zasifrovanim).

	Paket (nesifrovany, poslany nejakou (aplikaci) prijde pres nejakou 
sitovou kartu a vstoupi do jadra. To na zaklade routovaci tabulky a 
dalsich pravidel zjisti, ze "next-hop" je intervace tap0 a paket (stale 
nesifrovany) na nej preda. Tento interface nereprezentuje skutecny 
hardware, nicmene, an jeho miste sedi software, ktere s paketem cosi 
udela (zasifruje) a vytvori z nej bezny aplikacni datovy paket, ktery ze 
sitoveho socketu odesle - paket (ted uz zasifrovany) vstoupi pres sitovy 
socket dojadra, to zjisti, ze next-hop je sitova karta "do sveta" a pres 
tu ho odesle.

	V opacnem smeru aket prijde pres "vnejsi" sitovou kartu do jadra 
(zasifrovany). Podle cilove adresy jadro zjisti, ze paket patri lokalni 
aplikaci (OpenVPN) a pres sitovy socket ji ho (stale zasifrovany) 
preda.OpenVPN s paketem udela co uzna za vhodne (desifruje) a protoze 
ono je "hardwarem" sitove kartu tun0, ktery jakoby paket prave prijal z 
venku, nesifrovany paket vstupuje do jadra znovu, tenkrat jako paket 
prijaty interfacem tun0. Jazdro zjisti kam (nesifrovany_ paket patri a 
tam ho odesle.

	WireShark ziskava pakety prostrednictvim BPF, ktere pakety "krade" na 
rozhrani mezi sitovou kartou a jadrem. Pokud tedy poslouchas na rozhrani 
tap0 a jadra musis videt pakety nesifrovane. Sifrovane bys je videl na 
vystupnim sitovem interfacu ...

					Dan



-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz





More information about the Users-l mailing list