IPsec(インターネットプロトコルセキュリティ)の事実
インターネットプロトコルセキュリティ(IPsec)は、ISO標準のネットワークレイヤーセキュリティプロトコル(NLSP)の後継です。プロトコルに関する長所、短所、その他の興味深い事実は何ですか?
IPsecは実際にはプロトコルのファミリーであり、使用または使用できないいくつかのサブプロトコルがあり、全体的なセキュリティはこれらのそれぞれに順番に依存し、それらがどのように構成されているかによって異なります。
- プロトコルネゴシエーションとキー管理のためのIKE
- 認証、整合性のためのAHと、いくつかのプロトコル保護
- 暗号化のためのESP、そしていくつか。
利点:
- アプリケーションおよびユーザーに対して透過的です(ほとんどのシナリオ)。強調するために、これは簡単なポイントではありません。クライアントへの私の推奨がチャネルを暗号化することであることが何度もありました。 SSLを使用する場合-ただし、ソースコードにアクセスできない場合や、SSLがベンダーによってサポートされていない場合など-IPsecは基本的にドロップイン暗号化(アプリに関する限り)であり、アプリから完全に見えません。
- 正しく実装されていれば、非常に安全です
- ユーザーのミスが起こりにくい(SSLとして)
- とにかくほとんどのトラフィックを暗号化している場合は、SSLよりも効率的です
短所:
- ネットワークと要件によっては、導入が複雑になる場合があります
- インターネットや不明なクライアントでは使用できません(厳密には正確ではありませんが、ほとんどの目的と目的に対応しています)。
- 正しく展開されていない場合(たとえば、ESPがなくても、IPsecは正しいのですが)、ネットワーク管理者に誤った安心感を与える可能性があります。
- 例よりもはるかに効率が悪いすべてのトラフィックを暗号化する必要がない場合はSSL(ただし、いずれにしてもIPsecは暗号化します)。
IPsecには2つのモードがあります。
認証ヘッダー:各パケットには メッセージ認証コード が添付されており、完全性が保証されます。これには、リプレイ攻撃に対する防御も含まれます(攻撃者が以前に交換したパケットのコピーを送信した場合)。
カプセル化されたセキュリティペイロード:各パケットは暗号化されています(MACも持っています);暗号化は、パケットデータだけでなく、ほとんどのヘッダーもカバーします。新しいヘッダーが追加されます。これを使用して、パケットを復号化ホストに送信し、復号化ホストは最終的な宛先にルーティングします(攻撃者は、パケットの実際の送信先を知ることができません)。
暗号化は、SSLやSSHなどの他のプロトコルと同じ苦痛な仕様攻撃修正サイクルを経たため、健全です。
SSLとの主な違いは、IPsecはマシンレベルで実行されるということです。これは、あるmachineから別のマシンへデータを保護しますが、SSLはapplications(例:WebブラウザーおよびWebサーバー)。ほとんどのコンテキストでは(ただし、すべてではありません)、これは関連する違いはありませんが、覚えておくとよいでしょう。
最大の実用的な違いは、Average JoeのPCが完全に構成されたSSL対応エンジンであることですが、Joeがその構成をかなりいじる必要があるため、IPsecでの試行は失敗する可能性があります(ほとんどのオペレーティングシステムはWindowsを含むIPsecを実装しています) Windows 2000以降ですが、実装に問題はありません-構成です)。
IPsecは IPv6 の必須コンポーネントであるため、少なくともIPv6が普及すると、IPsecが普及します-イベントは2007年に行われるはずでした...
IPsecはセキュリティを向上させるように設計されましたが、このプロトコルも理想的なソリューションにそれほど近づいていません。頭に浮かぶ利点の1つは、セキュリティです。これは明らかです。状況によっては、次のようなデメリットがあります。
- 暗号化/復号化は、いくつかのCPUリソースを使用します。
- 複雑なネットワークのトラフィックポリシーの管理は複雑になる可能性があります。
- iPsecがトランスポートモードで使用されている場合、約束されたセキュリティは疑わしいものです。
クラウドベースのネットワークのニーズに合わせて動作/拡張しないため、無関係(または間もなく)