miglioramenti della rete rispetto a ipsec

2

Ho un ambiente specifico in cui TCP non è ottimale a causa delle sue ipotesi generali, e quindi deve essere migliorato. Questo piccolo miglioramento è stato fatto con successo. Funziona su vari livelli, da 2 a 4, e necessita dell'accesso in lettura / scrittura ad alcune informazioni visualizzate nei pacchetti TCP, come la dimensione della finestra di congestione. Ora mi chiedevo se avrei potuto estendere il mio stack di protocolli proprietario anche per operare con ipsec. Il problema è che ipsec crittografa tutto su ip, e ho bisogno di accedere a dei valori TCP (non a tutti). Durante il tempo di configurazione, ho accesso root ad ogni componente della rete (host, router, implementazioni ipsec, ...), ma durante l'esecuzione, solo gli host finali dovrebbero essere in grado di decrittografare l'intero payload. Non sono un esperto di sicurezza e mi chiedevo se potessi aiutarmi a capire quali opzioni erano disponibili per me per raggiungere quell'obiettivo, senza compromettere troppo la sicurezza (almeno il carico utile).

Grazie.

    
posta bob 05.04.2012 - 16:48
fonte

1 risposta

1

Sei sicuro di aver bisogno della crittografia a livello di collegamento? Per la maggior parte degli scopi, la crittografia a livello di applicazione è sufficiente.

Se hai davvero bisogno della crittografia a livello di collegamento, la soluzione migliore è probabilmente quella di canalizzare il traffico su un tunnel sicuro (OpenVPN, SSH, IPSec, ecc.). Mentre è possibile progettare una protezione simile a IPSec nel proprio protocollo, si tratta di un'attività non banale che richiede crittografi competenti e richiederà la visualizzazione delle specifiche dettagliate del protocollo. Non è qualcosa che possiamo fare su questo sito.

Se non hai davvero bisogno della crittografia a livello di collegamento, penso che sarà molto più facile implementare la crittografia a livello di applicazione. Fondamentalmente, si cripta il traffico che viene inviato sul protocollo. Se il tuo protocollo garantisce una consegna affidabile in ordine, utilizza TLS . In caso contrario, suggerisco di utilizzare DTLS . Questi protocolli sono stati attentamente controllati, sono disponibili molte implementazioni e dovrebbe essere abbastanza semplice sovrapporli al protocollo senza temere di introdurre qualche bug di sicurezza folle nella crittografia.

    
risposta data 08.05.2012 - 23:52
fonte

Leggi altre domande sui tag