Ich kann keine klare Antwort auf diese Frage bekommen. Laut Wikipedia ist "IPsec ein integraler Bestandteil der Basisprotokollsuite in IPv6". Bedeutet dies jedoch, dass ALLE Kommunikationen immer verschlüsselt sind, oder bedeutet dies, dass die Verschlüsselung optional ist, die Geräte sie jedoch verstehen müssen (falls sie verwendet werden sollen) )?
Wenn die Verschlüsselung optional ist, entscheidet das Betriebssystem, ob die Verschlüsselung verwendet wird, oder ist es die Anwendung? Aktivieren gängige Betriebssysteme und Software im Allgemeinen die Verschlüsselung?
Ich würde das selbst untersuchen, aber mir fehlt die IPv6-Konnektivität.
Update: Ok, also ist es optional. Meine nachfolgende Frage: In der Regel bestimmt die Anwendung, ob die Verschlüsselung verwendet werden soll, oder ist es das Betriebssystem?
Ein konkretes Beispiel: Stellen Sie sich vor, ich habe eine aktuelle Version von Windows mit nativer IPv6-Unterstützung und suche mit Mozilla Firefox unter ipv6.google.com nach etwas. Würde es verschlüsselt sein?
quelle
Antworten:
Nein.
IPv6 verfügt über integriertes IPsec als Teil des Protokolls und ist nicht wie IPv4 ein Bolt-On. Dies bedeutet jedoch nicht, dass es standardmäßig aktiviert ist, sondern nur, dass es (theoretisch) einen geringeren Overhead auf dem Netzwerkstapel gibt.
Im Allgemeinen wird die IPSec-Nutzung auf der IP-Ebene des Netzwerkstapels und daher von den Systemrichtlinien selbst bestimmt. Beispiel: System A verfügt möglicherweise über eine Richtlinie, nach der sowohl AH als auch ESP mit dem Subnetz 4.0.0.0/8 kommunizieren müssen.
Update: Klar ist, dass es der Anwendung egal ist - sie weiß nur, dass sie irgendwo eine Netzwerkverbindung öffnen und Daten senden / empfangen muss. Das System muss dann herausfinden, ob IPsec für die angegebene angeforderte Verbindung ausgehandelt werden soll. IPsec ist in hohem Maße als Authentifizierungs- / Verschlüsselungsmechanismus auf niedriger Ebene konzipiert und wurde gezielt so konzipiert, dass sich Protokolle und Anwendungen auf höherer Ebene nicht darum kümmern müssen.
Das heißt, es ist nur eine weitere Sicherheitskontrolle auf Netzwerkebene und sollte nicht unbedingt isoliert oder als Garantie für die Sicherheit verwendet werden. Wenn Sie versuchen, ein Authentifizierungsproblem zu lösen, ist es durchaus möglich, dass Sie dies wünschen Anwendung, um eine Authentifizierung auf Benutzerebene zu erzwingen, während die Authentifizierung auf Computerebene auf IPsec beschränkt bleibt.
quelle
Kurze Antwort: Nein.
Lange Antwort: IPsec wurde beim Entwurf von IPv6 in dem Sinne berücksichtigt, dass IPsec (sofern verwendet) im Gegensatz zu IPv4 Teil des IPv6-Headers ist.
Weitere Erklärung: In IPv4 wird IPsec über IP selbst ausgeführt. Tatsächlich handelt es sich um ein Layer 4-Protokoll, das sich als Layer 3-Protokoll tarnt (sodass die üblichen L4-Protokolle von TCP und UDP weiterhin funktionieren). Das ESP (Encapsulating Security Payload) kann sich nicht über IP-Pakete erstrecken. Infolgedessen haben IPSec-Pakete normalerweise eine stark reduzierte Nutzlastkapazität, wenn eine Fragmentierung verhindert wird. Außerdem ist der IP-Header nicht geschützt, da er über IP liegt.
In IPv6 ist IPsec Teil von IP selbst. Es kann sich über Pakete erstrecken, da der ESP-Header jetzt Teil des IP-Headers ist. Und da es in IP integriert ist, können mehr Teile des IP-Headers geschützt werden.
Ich hoffe, meine kurze Erklärung ist klar genug.
quelle
Zu Ihrer Folgefrage:
Das Betriebssystem legt fest, wann die Verschlüsselung verwendet werden soll. Diese "Richtlinien" -Optionen befinden sich in den Kontrollfeldern / Konfigurationsrichtlinien. Sie sagen Dinge wie "Wenn Sie eine Verbindung zu einer beliebigen Adresse im Subnetz ab12 :: herstellen möchten, müssen Sie ein geheimes Blah1234 haben". Es gibt Optionen zur Verwendung von PKI.
Momentan kann eine Anwendung diese Richtlinie nicht ergänzen oder verlangt, dass diese Richtlinie eingerichtet wird. Es gibt eine Erwähnung im Abschnitt "IPSec-Unterstützung für EH- und AH-Header fehlt" des Linux-Sockets ipv6. Daher haben die Leute darüber nachgedacht, aber es sind derzeit keine funktionierenden Implementierungen bekannt.
quelle
Auf Ihre Anschlussfrage ja und nein.
Anwendungen können die Verschlüsselung angeben, die Verschlüsselung erfolgt jedoch auf Anwendungsebene. Es gibt eine Vielzahl von unverschlüsselten / verschlüsselten Protokollpaaren, die unterschiedliche Ports verwenden, z. B. HTTP / HTTPS, LDAP / LDAPS, IMAP / IMAPS und SMTP / SSMTP. Diese verwenden alle SSL- oder TLS-Verschlüsselung. Einige Dienste bieten eine startTLS-Option an, mit der eine verschlüsselte Verbindung über den normalerweise unverschlüsselten Port gestartet werden kann. SSH ist eine Anwendung, die immer eine verschlüsselte Verbindung verwendet. In diesen Fällen ist die Verschlüsselung von Ende zu Ende. (Es gibt einen NULL-Verschlüsselungsalgorithmus, der verwendet werden kann, und der verschlüsselte Inhalt wird unverschlüsselt übertragen.)
IPSEC wird vom Administrator konfiguriert und die Anwendung merkt nicht, ob die Verbindung verschlüsselt ist oder nicht. Ich habe hauptsächlich gesehen, dass IPSEC verwendet wird, um Datenverkehr zwischen LANs über ungesicherte Verbindungen (VPN-Verbindungen) zu überbrücken. Ich glaube, dass IPSEC möglicherweise nur für einen Teil der Route gilt. In einigen Netzwerksegmenten werden die Daten daher unverschlüsselt übertragen.
Wenn ich die Wahl habe, verwende ich die Anwendungsverschlüsselung, da die Netzwerkverschlüsselung nicht häufig verwendet wird.
quelle