fatti IPsec (Internet Protocol Security)

24

Internet Protocol Security (IPsec) è un successore dello standard ISO Network Layer Security Protocol (NLSP). Quali sono i vantaggi, gli svantaggi, altri fatti interessanti relativi al protocollo?

    
posta Eric Warriner 13.11.2010 - 23:07
fonte

4 risposte

18

IPsec è in realtà una famiglia di protocolli, ha diversi sottoprotocolli che potrebbero essere utilizzati o non utilizzati, e la sicurezza globale dipende da ciascuno di questi a sua volta e da come sono configurati:

  • IKE per la negoziazione del protocollo e la gestione delle chiavi
  • AH per l'autenticazione, l'integrità e alcuni protocolli di protezione
  • ESP per la crittografia e poi alcuni.

Vantaggi:

  • Trasparente per applicazioni e utenti (nella maggior parte degli scenari). Per enfatizzare, questo non è un punto banale - ho avuto molte volte in cui i miei consigli ai clienti sarebbero stati di crittografare il canale, ad es. con SSL - tuttavia non hanno accesso al codice sorgente, o SSL non è supportato dal venditore, ecc. - e IPsec è fondamentalmente crittografia drop-in (per quanto riguarda l'app) e totalmente fuori dalla vista dell'app.
  • Molto sicuro, se implementato correttamente
  • Meno inclini agli errori degli utenti (come SSL)
  • Più efficiente di SSL, se stai crittografando la maggior parte del traffico comunque

Svantaggi:

  • Può essere complesso da implementare, a seconda della rete e dei requisiti
  • Non può essere utilizzato su Internet o con client sconosciuti (va bene non è strettamente accurato, ma è ancora valido per la maggior parte degli intenti e degli scopi).
  • Può fornire un falso senso di sicurezza agli amministratori di rete, se distribuiti in modo errato (ad esempio senza ESP, ma hey ho IPsec, giusto?).
  • Molto meno efficiente di ad es. SSL, se non è necessario crittografare tutto il traffico (ma IPsec lo farà comunque).
risposta data 14.11.2010 - 13:20
fonte
8

IPsec fornisce due modalità:

  • Intestazione di autenticazione : ogni pacchetto ha un codice di autenticazione dei messaggi allegato che garantisce la sua integrità; questo include anche una certa protezione contro gli attacchi di replay (quando l'attaccante invia copie di un pacchetto precedentemente scambiato).

  • Payload di sicurezza incapsulato : ogni pacchetto è crittografato (e ha anche un MAC); la crittografia copre non solo i dati a pacchetto ma anche la maggior parte dell'intestazione; viene aggiunta una nuova intestazione. Questo può essere usato per inviare il pacchetto a un host decrittante che lo instraderà quindi alla sua destinazione finale (l'autore dell'attacco non può sapere dove il pacchetto è realmente destinato ad andare).

La crittografia è valida, dal momento che ha attraversato lo stesso doloroso ciclo specific-attack-fix rispetto ad altri protocolli come SSL o SSH.

La principale differenza con SSL è che IPsec viene eseguito a livello macchina: protegge i dati da una macchina a un'altra, mentre SSL è tra applicazioni (ad esempio un browser Web e un server Web). Nella maggior parte dei contesti (ma non in tutti), questo non fa alcuna differenza rilevante, ma è comunque opportuno ricordarlo.

La più grande differenza pratica è che il PC di Joe medio è un motore abilitato per SSL completamente configurato, ma è probabile che qualsiasi tentativo di IPsec fallisca, perché richiederebbe a Joe di giocherellare un po 'con la sua configurazione (la maggior parte dei sistemi operativi implementa IPsec , incluso Windows da Windows 2000, ma l'implementazione non è un problema - la configurazione è).

IPsec è un componente obbligatorio di IPv6 , quindi IPsec sarà diffuso almeno quando IPv6 diventa prevalente - un evento che avrebbe dovuto svolgersi nel 2007 ...

    
risposta data 06.10.2011 - 19:38
fonte
3

IPsec è stato progettato per migliorare la sicurezza, ma ancora una volta, questo protocollo non è nemmeno così vicino alla soluzione ideale. Uno dei vantaggi che viene in mente è la sicurezza, è ovvio. A seconda della situazione, potrebbe avere seguenti svantaggi:

  • crittografia / decrittografia utilizzerà alcune risorse della CPU;
  • può essere complicato gestire la politica del traffico per reti complesse;
  • la sicurezza promessa è discutibile se IPsec viene utilizzato in modalità di trasporto;
risposta data 13.11.2010 - 23:33
fonte
1

Non funziona / scala in base alle esigenze delle reti basate su cloud ed è quindi irrilevante (o sarà presto)

    
risposta data 14.11.2010 - 16:20
fonte

Leggi altre domande sui tag