ข้อมูลเข้ารหัสอยู่เสมอในการสื่อสาร IPv6 หรือไม่


30

ฉันดูเหมือนจะไม่ได้รับคำตอบที่ตรงกับคำถามนี้ Wikipedia กล่าวว่า "IPsec เป็นส่วนสำคัญของชุดโปรโตคอลพื้นฐานใน IPv6" แต่นั่นหมายความว่าการสื่อสารทั้งหมดจะถูกเข้ารหัสเสมอหรือหมายความว่าการเข้ารหัสนั้นเป็นตัวเลือก แต่อุปกรณ์จะต้องสามารถเข้าใจได้ (ควรใช้ )?

หากการเข้ารหัสเป็นตัวเลือกระบบปฏิบัติการที่ตัดสินใจว่าจะใช้การเข้ารหัสหรือเป็นแอปพลิเคชันหรือไม่ ระบบปฏิบัติการและซอฟต์แวร์ยอดนิยมทั่วไปเปิดใช้งานการเข้ารหัสหรือไม่

ฉันจะตรวจสอบสิ่งนี้ด้วยตัวเอง แต่ฉันขาดการเชื่อมต่อ IPv6

อัปเดต:ตกลงดังนั้นจึงเป็นตัวเลือก คำถามติดตามผลของฉัน: โดยทั่วไปแล้วเป็นแอปพลิเคชันที่กำหนดว่าจะใช้การเข้ารหัสหรือเป็นระบบปฏิบัติการหรือไม่

ตัวอย่างที่เฉพาะเจาะจง: ลองนึกภาพฉันมี Windows รุ่นล่าสุดที่มีการสนับสนุน ipv6 ดั้งเดิมและฉันค้นหาบางอย่างใน ipv6.google.com โดยใช้ Mozilla Firefox มันจะถูกเข้ารหัสหรือไม่


16
IPSec เปรียบเสมือนประตูล็อค มันอาจเป็นส่วนหนึ่งของประตู แต่ไม่ได้หมายความว่าประตูจะต้องล็อคอยู่เสมอ
Chris S

@Chris S: ความคิดเห็นที่ยอดเยี่ยมคุณมีคะแนนของฉันสำหรับสิ่งนั้น
SplinterReality

คำตอบ:


31

เลขที่

IPv6 มี IPsec ในตัวเป็นส่วนหนึ่งของโพรโทคอลและมันไม่ได้เป็น bolt-on เหมือนกับ IPv4 อย่างไรก็ตามนี่ไม่ได้หมายความว่าจะเปิดใช้งานตามค่าเริ่มต้น แต่ก็หมายความว่าเป็นค่าใช้จ่ายที่ต่ำกว่า (ในทางทฤษฎี) ในสแต็กเครือข่าย

โดยทั่วไปแล้วการใช้ IPsec นั้นถูกกำหนดที่ระดับ IP ของเครือข่ายสแต็กดังนั้นจึงถูกกำหนดโดยนโยบายระบบเอง เช่นระบบ A อาจมีนโยบายที่ต้องการทั้ง AH และ ESP เพื่อสื่อสารกับซับเน็ต 4.0.0.0/8

อัปเดต:เพื่อความชัดเจนแอปพลิเคชั่นไม่สนใจ - เพียงแค่รู้ว่าต้องเปิดการเชื่อมต่อเครือข่ายที่ไหนสักแห่งแล้วส่ง / รับข้อมูล จากนั้นระบบจะต้องพิจารณาว่าจะเจรจา IPsec สำหรับการเชื่อมต่อที่ร้องขอหรือไม่ IPsec ได้รับการออกแบบมาเป็นอย่างมากให้เป็นกลไกการพิสูจน์ตัวตน / การเข้ารหัสระดับต่ำและสร้างขึ้นโดยมีจุดประสงค์เพื่อให้โปรโตคอลและแอปพลิเคชันระดับสูงไม่ต้องกังวลกับมัน

ดังกล่าวเป็นเพียงการควบคุมความปลอดภัยระดับเครือข่ายอื่นและไม่ควรใช้แยกหรือเชื่อถือเพื่อรับประกัน 'ความปลอดภัย' - หากคุณพยายามแก้ปัญหาและรับรองความถูกต้องอาจเป็นไปได้ทั้งหมดที่คุณต้องการ แอปพลิเคชันเพื่อบังคับใช้การรับรองความถูกต้องระดับผู้ใช้บางประเภทในขณะที่ออกจากการตรวจสอบความถูกต้องระดับเครื่องจนถึง IPsec


1
ขอบคุณสำหรับการยกเลิกตำนานที่โด่งดังอย่างน่ากลัว
Marcin

3
โอ้สิ่งที่ควรจะเป็น บางทีเราจะได้รับสิ่งนี้ใน IPv8 ในอีกไม่กี่ร้อยปี
Michael Hampton

1
ฉันไม่เห็นด้วย - การเข้ารหัสควรเป็นไปได้เสมอและอย่างดีที่สุดง่ายมาก การบังคับใช้การควบคุมความปลอดภัยบางประเภทโดยไม่คำนึงถึงการมีอยู่ของการควบคุมอื่น ๆ นั้นเป็นเพียงการมองสั้น ๆ เกี่ยวกับกรณีการใช้งานที่คุณไม่ต้องการเข้ารหัส IP ระดับอย่างจริงจัง
Growse

20

คำตอบสั้น ๆ : ไม่

คำตอบยาว ๆ : IPsec ถูกพิจารณาเมื่อออกแบบ IPv6 ในแง่ที่แตกต่างจาก IPv4 ที่ IPsec (เมื่อใช้) เป็นส่วนหนึ่งของส่วนหัวของ IPv6

คำอธิบายเพิ่มเติม: ใน IPv4, IPsec ทำงานบน IP เอง จริงๆแล้วมันเป็นโปรโตคอล Layer 4 ที่ 'masquerades' เป็นโปรโตคอล Layer 3 (ดังนั้นโปรโตคอล L4 ปกติของ TCP และ UDP จะยังคงทำงานได้) ESP (Encapsulating Security Payload) ไม่สามารถขยายระหว่างแพ็กเก็ต IP ได้ เป็นผลให้แพ็คเก็ต IPsec มักจะมีกำลังการผลิตลดลงอย่างรุนแรงหากมีการป้องกันการกระจายตัว นอกจากนี้เนื่องจากอยู่ด้านบนของ IP ส่วนหัวของ IP จะไม่ได้รับการป้องกัน

ใน IPv6 IPsec เป็นส่วนหนึ่งของ IP เอง มันสามารถขยายแพ็คเก็ตได้เนื่องจากส่วนหัวของ ESP ตอนนี้เป็นส่วนหนึ่งของส่วนหัวของ IP และเนื่องจากมีการรวมเข้ากับ IP จึงสามารถป้องกันส่วนต่าง ๆ ของ IP ได้มากขึ้น

ฉันหวังว่าคำอธิบาย 'สั้น' ของฉันชัดเจนเพียงพอ


1
ที่จริงแล้ว AH ลงนามแพ็กเก็ตทั้งหมดซึ่งหมายความว่าไม่มีอะไรสามารถเปลี่ยนแปลงได้ (เช่น NAT หยุดแบ่ง) นี่คือเหตุผลที่อุโมงค์ IPSec น้อยมากที่ใช้ AH จริงๆ และเป็นส่วนหัวหนึ่งในหลาย ๆส่วนไม่ใช่ไม่ใช่ "ส่วนหนึ่งของส่วนหัวของ IP"
Ricky Beam

2

คำถามติดตามคุณ:

ระบบปฏิบัติการจะกำหนดเวลาที่จะใช้การเข้ารหัส ตัวเลือก "นโยบาย" เหล่านี้อยู่ในแผงควบคุม / นโยบายการกำหนดค่า คุณพูดเช่น "ถ้าคุณต้องการเชื่อมต่อกับที่อยู่ใด ๆ ในเครือข่ายย่อย ab12 :: คุณต้องมีความลับ Blah1234" มีตัวเลือกให้ใช้ PKI

ในขณะนี้แอปพลิเคชันไม่สามารถเพิ่มนโยบายนี้หรือต้องการตั้งค่านโยบายนี้ มีการกล่าวถึงในส่วนของซ็อกเก็ตลินุกซ์ ipv6 "การสนับสนุน IPSec สำหรับส่วนหัว EH และ AH หายไป" ดังนั้นผู้คนจึงมีความคิดเช่นนี้


1

คำถามติดตามของคุณใช่และไม่ใช่

แอปพลิเคชันสามารถระบุการเข้ารหัส แต่การเข้ารหัสจะทำในระดับแอปพลิเคชัน มีคู่โปรโตคอลที่ไม่ได้เข้ารหัส / เข้ารหัสที่หลากหลายโดยใช้พอร์ตที่ต่างกันเช่น HTTP / HTTPS, LDAP / LDAPS, IMAP / IMAPS และ SMTP / SSMTP สิ่งเหล่านี้ทั้งหมดใช้การเข้ารหัส SSL หรือ TLS บริการบางอย่างจะเสนอตัวเลือก startTLS ซึ่งอนุญาตให้เริ่มการเชื่อมต่อที่เข้ารหัสบนพอร์ตที่ไม่ได้เข้ารหัสตามปกติ SSH เป็นแอปพลิเคชั่นที่ใช้การเชื่อมต่อแบบเข้ารหัสเสมอ การเข้ารหัสสิ้นสุดลงสำหรับกรณีเหล่านี้ (มีอัลกอริทึมการเข้ารหัสแบบ NULL ซึ่งสามารถใช้ได้และเนื้อหาที่เข้ารหัสจะถูกส่งแบบไม่เข้ารหัส)

ผู้ดูแลระบบมีการกำหนดค่า IPSEC และแอปพลิเคชันจะไม่ทราบว่ามีการเชื่อมต่อที่เข้ารหัสหรือไม่ ฉันเคยเห็น IPSec ส่วนใหญ่ที่ใช้ในการลดทราฟฟิกระหว่าง LAN ผ่านการเชื่อมต่อที่ไม่ปลอดภัย (การเชื่อมต่อ VPN) ฉันเชื่อว่า IPSEC อาจใช้กับส่วนหนึ่งของเส้นทางดังนั้นในบางส่วนของเครือข่ายข้อมูลจะถูกส่งในที่ชัดเจน (ไม่ได้เข้ารหัส)

มีตัวเลือกให้ฉันจะใช้การเข้ารหัสแอปพลิเคชันเนื่องจากการเข้ารหัสเครือข่ายไม่ได้ใช้อย่างหนัก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.