IPv6 iletişiminde veriler her zaman şifrelenir mi?


30

Bu soruya doğrudan bir cevap alamıyorum. Wikipedia, "IPsec, IPv6'daki temel protokol paketinin ayrılmaz bir parçasıdır" diyor, ancak bu, TÜM iletişimin her zaman şifreli olduğu anlamına mı geliyor, yoksa şifrelemenin isteğe bağlı olduğu anlamına mı geliyor, ancak cihazlar bunu anlayabilmeli (kullanmalı mı?) )?

Şifreleme isteğe bağlıysa, şifrelemenin kullanılıp kullanılmayacağına karar veren işletim sistemi midir, yoksa uygulama mı? Popüler işletim sistemleri ve yazılımlar genellikle şifrelemeyi sağlıyor mu?

Bunu kendim araştırırdım, ancak IPv6 bağlantısı yok.

Güncelleme: Tamam, bu yüzden isteğe bağlı. Takip eden sorum: tipik olarak, şifrelemenin kullanılıp kullanılmayacağını belirleyen uygulama mı, yoksa işletim sistemi mi?

Belirli bir örnek: Windows’un yerel IPv6 desteğine sahip yeni bir sürümüne sahip olduğumu ve Mozilla Firefox kullanarak ipv6.google.com adresinde bir şey aradığımı hayal edin. Şifrelenir mi?


16
IPSec kapıdaki bir kilit gibidir; kapının bir parçası olabilir, ancak kapının mutlaka kilitlendiği anlamına gelmez.
Chris S

@Chris S: Müthiş yorum, bunun için benim oyum var.
SplinterReality

Yanıtlar:


31

Yok hayır.

IPv6, protokolün bir parçası olarak yerleşik IPsec'e sahiptir ve IPv4'teki gibi sıkma değildir. Ancak, bu varsayılan olarak etkin olduğu anlamına gelmez, sadece ağ yığında (teorik olarak) daha düşük bir ek yük olduğu anlamına gelir.

Genellikle, IPsec kullanımı, ağ yığınının IP düzeyinde belirlenir ve bu nedenle sistem politikaları tarafından belirlenir. Örneğin, Sistem A'nın hem AH hem de ESP'nin 4.0.0.0/8 alt ağı ile herhangi bir iletişim kurmasını gerektiren bir politikası olabilir.

Güncelleme: net olmak gerekirse, uygulama umursamıyor - sadece bir yerde bir ağ bağlantısı açması ve veri alması / alması gerektiğini biliyor. Sistem daha sonra verilen istenen bağlantı için IPsec'in görüşülüp görüşülmeyeceğini bulmalıdır. IPsec, düşük seviye bir kimlik doğrulama / şifreleme mekanizması olarak tasarlanmıştır ve daha üst seviye protokollerin ve uygulamaların endişelenmesine gerek kalmayacak şekilde tasarlanmıştır.

Bununla birlikte, bu yalnızca ağ düzeyinde bir güvenlik kontrolüdür ve 'güvenliği' garanti altına almak için mutlaka izolasyonda kullanılmamalı veya güvenceye alınmamalıdır - sorunu çözmeye ve doğrulamaya çalışıyorsanız, tamamen istemiş olabilirsiniz. Makine düzeyinde kimlik doğrulamasını IPsec'e bırakırken, kullanıcı düzeyinde bir kimlik doğrulamasını zorlamak için uygulama


1
Korkunç derecede popüler olan bir efsaneyi açıkça reddettiğiniz için teşekkür ederiz.
Marcin

3
Olabilecek şeyler. Belki bunu IPv8'de birkaç yüz yıl içinde alırız.
Michael Hampton

1
Kabul etmiyorum - şifreleme her zaman mümkün ve en iyi ihtimalle çok kolay olmalı. Diğer kontrollerin varlığından bağımsız olarak belirli bir güvenlik kontrolünü zorunlu kılmak, aktif olarak IP-seviyeli şifreleme istemediğiniz kullanım durumları ile ilgili kısa bir görüş alanıdır.
12’de

20

Kısa cevap: Hayır.

Uzun cevap: IPv6'yı tasarlarken, IPv4'ten farklı olarak, IPsec'in (kullanıldığında) IPv6 başlığının bir parçası olduğu anlamında IPsec düşünülmüştür.

Daha fazla açıklama: IPv4'te IPsec , IP'nin kendisinde çalışır . Aslında, Katman 3 protokolü olarak 'maskelenen' bir Katman 4 protokolüdür (böylece TCP ve UDP'nin normal L4 protokolleri çalışmaya devam eder). ESP (Kapsüllenen Güvenlik Yükü) IP paketleri arasında yer alamaz. Sonuç olarak, IPsec paketleri genellikle parçalanma önlenirse yük taşıma kapasitesini ciddi şekilde azaltır. Artı, IP'nin üstünde olduğundan, IP'nin başlığı korunmaz.

IPv6'da IPsec , IP'nin bir parçasıdır . ESP üstbilgisi şimdi IP üstbilgisinin bir parçası olduğundan, paketlere yayılabilir. IP ile entegre olduğu için IP başlığının daha fazla kısmı korunabilir.

Umarım benim 'kısaca' bir açıklama yeterince açıktır.


1
Aslında AH, paketin tamamını imzalar , yani hiçbir şey değiştirilemez (yani NAT bunu bozar.) Bu yüzden çok az sayıda IPSec tüneli gerçekten AH kullanır. Ve kelimenin tam anlamıyla "IP başlığının bir parçası" değil , birçok uzantı başlığından biri.
Ricky Beam

2

Size takip soru:

İşletim sistemi şifrelemenin ne zaman kullanılacağını tanımlar. Bu "politika" seçenekleri kontrol panelleri / yapılandırma politikaları dahilindedir. "Ab12 :: alt ağındaki herhangi bir adrese bağlanmak istiyorsanız, gizli Blah1234'e sahip olmalısınız" gibi şeyler söylersiniz. PKI kullanmak için seçenekler var.

Şu anda bir uygulama bu politikaya eklenemez veya bu politikanın kurulmasını talep edemez. Linux soketi ipv6 bölümünde "EH ve AH başlıkları için IPSec desteği eksik" diye bahsedilmiştir, bu nedenle insanlar bunu düşünmüşlerdir, ancak şu anda bilinen hiçbir çalışma uygulaması yoktur.


1

Takip sorunuza evet ve hayır.

Uygulamalar şifreleme belirtebilir, ancak şifreleme uygulama düzeyinde yapılır. HTTP / HTTPS, LDAP / LDAPS, IMAP / IMAPS ve SMTP / SSMTP gibi farklı bağlantı noktaları kullanan çok çeşitli şifrelenmemiş / şifreli protokol çiftleri vardır. Bunların hepsi SSL veya TLS şifrelemesi kullanıyor. Bazı servisler, normal olarak şifrelenmemiş portta şifreli bir bağlantının başlatılmasını sağlayan bir startTLS seçeneği sunacaktır. SSH, her zaman şifreli bağlantı kullanan bir uygulamadır. Şifreleme bu durumlarda sona erecek. (Kullanılabilecek bir NULL şifreleme algoritması vardır ve şifreli içerik şifrelenmemiş olarak taşınacaktır.)

IPSEC yönetici tarafından yapılandırılmıştır ve uygulama bağlantının şifreli olup olmadığının farkında olmayacaktır. Genelde IPSEC'in LAN'lar arasındaki trafiği güvenli olmayan bağlantılar (VPN bağlantıları) üzerinden köprü olarak kullandığını gördüm. IPSEC'in rotanın sadece bir kısmı için geçerli olabileceğine inanıyorum, bu nedenle bazı ağ segmentlerinde veriler açık (şifrelenmemiş) olarak iletiliyor.

Bir seçim verdiğimde, ağ şifrelemesi çok fazla kullanılmadığı için uygulama şifrelemesini kullanacağım.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.