Chôdza v agónii alebo Šifrovanie prevádzky v Direct Connect, časť 3
A nikto nevlieva nové víno do starých mechov; inak nové víno roztrhne šupky a samo vytečie a šupky sa stratia; ale nové víno treba naliať do nových mechov; potom budú obe uložené. OK. 5:37,38
V apríli tohto roku oznámila správa najväčšieho svetového DC hubu spustenie podpory bezpečných pripojení. Pozrime sa, čo z toho vzniklo.
Pretože všetko, čo som si o tom myslel, už bolo povedané skôr, táto časť článku nemala vôbec existovať.
Ak potrebujete bezpečnosť, vyberte si moderného klienta a rozbočovač ADC. Bodka.
Čo ak však stále používate rozbočovač NMDC, tj zvyčajne? V tomto prípade sa budete musieť vysporiadať s nekompatibilitou starých, veľmi starých, nových alebo jednoducho nenakonfigurovaných DC klientov. Ale stalo sa to a problémy na seba nenechali dlho čakať.
mafie
Po prvé, zabezpečené spojenia medzi klientom a klientom sa vytvoria bez ohľadu na prítomnosť šifrovania medzi klientom a rozbočovačom.
Po druhé, nie je možné vizuálne určiť hub, ktorý vysiela alebo nevysiela požiadavky na zabezpečené pripojenie.
Po tretie, dnes majú takmer všetci klienti DC štandardne zapnuté šifrovanie pripojenia.
Pamätáš si? Teraz poďme skontrolovať TLS nastavenia na strane užívateľa, pripojte sa k rozbočovaču a opatrne sa pokúste navzájom prepojiť klientov.
NMDCs hub
DC++ kategoricky odmieta zabezpečené pripojenia na rozbočovačoch NMDC, ale plne schvaľuje bežné. Vývojári vyjadrili dôvod viac ako raz - nemá zmysel nasledovať ten istý starý hrab!
StrongDC++ pozná iba TLS v.1.0 a moderní klienti sa k nemu vôbec nepripájajú. S GreylinkDC++ je to ešte horšie.
FlylinkDC++ ochotne spadá do režimu kompatibility so staršími klientmi. Ako dlho to bude trvať a je to vôbec potrebné?...
EiskaltDC++ robí to isté menej ochotne, len pre svoje potreby.
rozbočovače ADC
Všetko je úplne rovnaké, ale DC++ je aktívne zahrnuté v hre.
Zdá sa, že EiskaltDC++ nerobí rozdiel medzi rozbočovačmi NMDC a ADC, pretože je prísny k obom.
Čo ak odfiltrujete starších klientov nastavením povinnej požiadavky na podporu TLS v.1.2 na vstupe?...
Rozbočovače ADC
Skvelé, nie?
Závery
Čitateľ si môže myslieť, že je najlepšie použiť FlylinkDC++ a nemať problémy, ale zabudli ste, že tento klient problematické mnou. Jedným z posledných incidentov, o ktorých viem, je, že mnohí používatelia nezaškrtli políčka na podporu bezpečných pripojení pomocou vzdialenej konfigurácie a ich virtuálnu absenciu vo všetkých starších verziách.
Stručne povedané, z mnohých historických a politických dôvodov je použitie uzlov NMDC ako základne pre bezpečné spojenia medzi klientmi zložité alebo dokonca nemožné. Pomocou rozbočovača NMDC zaručene stratíte možnosť spojiť sa s niektorými používateľmi a na oplátku získate bezpečnosť – ale bez záruk.
Odporúčanie
Začnite používať rozbočovače ADC, aspoň vpredu. Odmietnite zastaraných klientov a ak ste správcom DC hubu, zakážte Strong a Grey. Pre
Každé kráľovstvo rozdelené proti sebe je pusté; a každé mesto alebo dom rozdelený proti sebe nemôže obstáť. Matt. 12:25