インターネットプロトコルセキュリティ(IPsec)は、ISO標準のネットワークレイヤーセキュリティプロトコル(NLSP)の後継です。プロトコルに関する長所、短所、その他の興味深い事実は何ですか?
IPsecは実際にはプロトコルのファミリーであり、使用または使用できないいくつかのサブプロトコルがあり、全体的なセキュリティはこれらのそれぞれに順番に依存し、それらがどのように構成されているかによって異なります。
利点:
短所:
IPsecには2つのモードがあります。
認証ヘッダー:各パケットには メッセージ認証コード が添付されており、完全性が保証されます。これには、リプレイ攻撃に対する防御も含まれます(攻撃者が以前に交換したパケットのコピーを送信した場合)。
カプセル化されたセキュリティペイロード:各パケットは暗号化されています(MACも持っています);暗号化は、パケットデータだけでなく、ほとんどのヘッダーもカバーします。新しいヘッダーが追加されます。これを使用して、パケットを復号化ホストに送信し、復号化ホストは最終的な宛先にルーティングします(攻撃者は、パケットの実際の送信先を知ることができません)。
暗号化は、SSLやSSHなどの他のプロトコルと同じ苦痛な仕様攻撃修正サイクルを経たため、健全です。
SSLとの主な違いは、IPsecはマシンレベルで実行されるということです。これは、あるmachineから別のマシンへデータを保護しますが、SSLはapplications(例:WebブラウザーおよびWebサーバー)。ほとんどのコンテキストでは(ただし、すべてではありません)、これは関連する違いはありませんが、覚えておくとよいでしょう。
最大の実用的な違いは、Average JoeのPCが完全に構成されたSSL対応エンジンであることですが、Joeがその構成をかなりいじる必要があるため、IPsecでの試行は失敗する可能性があります(ほとんどのオペレーティングシステムはWindowsを含むIPsecを実装しています) Windows 2000以降ですが、実装に問題はありません-構成です)。
IPsecは IPv6 の必須コンポーネントであるため、少なくともIPv6が普及すると、IPsecが普及します-イベントは2007年に行われるはずでした...
IPsecはセキュリティを向上させるように設計されましたが、このプロトコルも理想的なソリューションにそれほど近づいていません。頭に浮かぶ利点の1つは、セキュリティです。これは明らかです。状況によっては、次のようなデメリットがあります。
クラウドベースのネットワークのニーズに合わせて動作/拡張しないため、無関係(または間もなく)