Кто, что знает - поделитесь. Нужна информация по поводу возможности добавления своих алгоритмов шифрования(того же ГОСТа) в IpSec для шифрования всего траффика между компьютерами. Сейчас на ум приходит только одно - разбор ipsec.sys и модифицирование драйвера или подмену, но может есть какой то более легкий путь без геммороя?
Хм, хотелось бы что бы всю основную работу делал IpSec, только с нужными мне алгоритмами шифрования. Всё то хорошо, но в Висте IpSec.sys->tcpip.sys , а это уже геммороя 2х, прийдеться 2 драйвера разбирать. Может есть какой то официальный способ перехвата данных которые шифрует IpSec, тогда бы просто их перехватывал и шифровал, а в IpSec шифрование бы вообще отключил, т.к. данные будут уже зашифрованые. Или может я чего то не понял?
Надо отключить шифрование в IpSec и вставить драйвер фильтр который будет шифровать по нужному алгоритму должно получится примерно так IpSec.sys->Filter.sys->tcpip.sys.
2FED Какого уровня фильтр должен быть? как я понял до Vista было: tdi?->IpSec.sys->tcpip.sys->NDIS?->Miniport? In Vista: tdi?->tcpip.sys->NDIS?->Miniport? Мне куда соваться то легче всего? В NDIS или делать свой адаптер виртуальный? И возможно ли всунуться до tdi и зашифровать данные идущие в IpSec, получаеться то же самое, вроде бы как? Или это вообще не то, и надо смотреть в другую сторону? Желательно что бы работала и в Vista - Server 2008. Спасибо jhons и 2FED за ответы, надеюсь поможете дальше разобраться.
dead_body, другой алго в IPSec тебе не добавить. Вся система совсем не тривиальна со своим ISAKMP/IKE который делает key exchange и потом отдаёт Security Association (session key) IPSec-y. Если ты хочешь свой алго, то пиши свой VPN клиент. Лучший способ это использовать virtual adapter (miniport). Посмотри OpenVPN.
Мне нужно что бы траффик шифровался в сети, даже когда он идёт не этой машине, а машина стоит в виде маршрутизатора. То есть: PC1->PC2->PC3, где моя программа стоит на 2 и 3 компьютере, и второй компьютер работает в виде маршрутизатора. Незашфрованные данные послались с 1 на 2 компьтер, там пакет зашифровался и улетел на 3. После прочтения некоторого кол-ва форумов и информации, выяснилось что мне мо жет подойти или Windows Filtering Platform(Vista+) или как заметил s0larian, miniport. сейчас гляну OpenVPN, и паралельно будуизучать WFP для встраивания в IpSec.
WFP(Windows File protection)? вот тут хорошо описано http://wasm.ru/article.php?article=green2red03#_Toc106867021
dead_body, 1) ты не воткнёшь свой алго в IPSec suite. 2) OpenVPN и IPSec (Microsoft implementation) дают возможность делать site-to-site (то есть routing) 3) Если OS не принципиальна, то возьми комп за $300, поставь linux и наверх openvpn или openswan - вот тебе и router.
s0larian это я не себе, и надо именно програмное решение. Сейчас вот решаеться, что делать или разрабатывать с нуля, что то в виде OpenVPN или покупать у них лицензию, как вариант.
можно заюзать хуки которые юзает ipsec.sys и сделать либо инжект либо нафиг удалить ipsec с системы вообщем выход всегда можно найти
