fatti IPsec (Internet Protocol Security)

IPsec è in realtà una famiglia di protocolli, ha diversi sottoprotocolli che potrebbero essere utilizzati o non utilizzati, e la sicurezza globale dipende da ciascuno di questi a sua volta e da come sono configurati:

• IKE per la negoziazione del protocollo e la gestione delle chiavi
• AH per l'autenticazione, l'integrità e alcuni protocolli di protezione
• ESP per la crittografia e poi alcuni.

Vantaggi:

• Trasparente per applicazioni e utenti (nella maggior parte degli scenari). Per enfatizzare, questo non è un punto banale - ho avuto molte volte in cui i miei consigli ai clienti sarebbero stati di crittografare il canale, ad es. con SSL - tuttavia non hanno accesso al codice sorgente, o SSL non è supportato dal venditore, ecc. - e IPsec è fondamentalmente crittografia drop-in (per quanto riguarda l'app) e totalmente fuori dalla vista dell'app.
• Molto sicuro, se implementato correttamente
• Meno inclini agli errori degli utenti (come SSL)
• Più efficiente di SSL, se stai crittografando la maggior parte del traffico comunque

Svantaggi:

• Può essere complesso da implementare, a seconda della rete e dei requisiti
• Non può essere utilizzato su Internet o con client sconosciuti (va bene non è strettamente accurato, ma è ancora valido per la maggior parte degli intenti e degli scopi).
• Può fornire un falso senso di sicurezza agli amministratori di rete, se distribuiti in modo errato (ad esempio senza ESP, ma hey ho IPsec, giusto?).
• Molto meno efficiente di ad es. SSL, se non è necessario crittografare tutto il traffico (ma IPsec lo farà comunque).

IPsec fornisce due modalità:

• Intestazione di autenticazione : ogni pacchetto ha un codice di autenticazione dei messaggi allegato che garantisce la sua integrità; questo include anche una certa protezione contro gli attacchi di replay (quando l'attaccante invia copie di un pacchetto precedentemente scambiato).

• Payload di sicurezza incapsulato : ogni pacchetto è crittografato (e ha anche un MAC); la crittografia copre non solo i dati a pacchetto ma anche la maggior parte dell'intestazione; viene aggiunta una nuova intestazione. Questo può essere usato per inviare il pacchetto a un host decrittante che lo instraderà quindi alla sua destinazione finale (l'autore dell'attacco non può sapere dove il pacchetto è realmente destinato ad andare).

La crittografia è valida, dal momento che ha attraversato lo stesso doloroso ciclo specific-attack-fix rispetto ad altri protocolli come SSL o SSH.

La principale differenza con SSL è che IPsec viene eseguito a livello macchina: protegge i dati da una macchina a un'altra, mentre SSL è tra applicazioni (ad esempio un browser Web e un server Web). Nella maggior parte dei contesti (ma non in tutti), questo non fa alcuna differenza rilevante, ma è comunque opportuno ricordarlo.

La più grande differenza pratica è che il PC di Joe medio è un motore abilitato per SSL completamente configurato, ma è probabile che qualsiasi tentativo di IPsec fallisca, perché richiederebbe a Joe di giocherellare un po 'con la sua configurazione (la maggior parte dei sistemi operativi implementa IPsec , incluso Windows da Windows 2000, ma l'implementazione non è un problema - la configurazione è).

IPsec è un componente obbligatorio di IPv6 , quindi IPsec sarà diffuso almeno quando IPv6 diventa prevalente - un evento che avrebbe dovuto svolgersi nel 2007 ...

IPsec è stato progettato per migliorare la sicurezza, ma ancora una volta, questo protocollo non è nemmeno così vicino alla soluzione ideale. Uno dei vantaggi che viene in mente è la sicurezza, è ovvio. A seconda della situazione, potrebbe avere seguenti svantaggi:

• crittografia / decrittografia utilizzerà alcune risorse della CPU;
• può essere complicato gestire la politica del traffico per reti complesse;
• la sicurezza promessa è discutibile se IPsec viene utilizzato in modalità di trasporto;

Non funziona / scala in base alle esigenze delle reti basate su cloud ed è quindi irrilevante (o sarà presto)