Frage Werden Daten in der IPv6-Kommunikation immer verschlüsselt?


Ich kann keine klare Antwort auf diese Frage bekommen. Wikipedia sagt "IPsec ist ein wesentlicher Bestandteil der Basis-Protokoll-Suite in IPv6", aber bedeutet das, dass ALLE Kommunikation immer verschlüsselt ist, oder bedeutet, dass Verschlüsselung optional ist, aber Geräte müssen in der Lage sein, es zu verstehen (sollte es verwendet werden )

Wenn die Verschlüsselung optional ist, entscheidet das Betriebssystem, ob eine Verschlüsselung verwendet wird, oder ist es die Anwendung? Aktivieren gängige Betriebssysteme und Software generell die Verschlüsselung?

Ich würde das selbst untersuchen, aber ich habe keine IPv6-Konnektivität.

Aktualisieren: Ok, also ist es optional. Meine Follow-up-Frage: Ist es in der Regel die Anwendung, die definiert, ob eine Verschlüsselung verwendet wird, oder ist es das Betriebssystem?

Ein konkretes Beispiel: Stellen Sie sich vor, ich habe eine aktuelle Version von Windows mit nativer ipv6-Unterstützung und suche mit Mozilla Firefox nach etwas auf ipv6.google.com. Wäre es verschlüsselt?


27
2018-04-18 16:29


Ursprung


IPSec ist wie ein Schloss an einer Tür; es könnte ein Teil der Tür sein, aber es bedeutet nicht, dass die Tür notwendigerweise verschlossen ist. - Chris S
@Chris S: Awesome Kommentar, Sie haben meine Stimme dafür. - SplinterReality


Antworten:


Nein.

IPv6 hat IPsec als Teil des Protokolls integriert, und es ist kein Bolt-On wie bei IPv4. Dies bedeutet jedoch nicht, dass es standardmäßig aktiviert ist. Es bedeutet lediglich, dass der Netzwerkstapel (theoretisch) niedriger ist.

Im Allgemeinen wird die IPsec-Nutzung auf der IP-Ebene des Netzwerkstapels bestimmt und daher von den Systemrichtlinien selbst bestimmt. z.B. System A verfügt möglicherweise über eine Richtlinie, die erfordert, dass sowohl AH als auch ESP mit dem Subnetz 4.0.0.0/8 kommunizieren können.

Aktualisieren: um es klar zu sagen, die Anwendung ist egal - sie weiß nur, dass sie irgendwo eine Netzwerkverbindung öffnen und Daten senden / empfangen muss. Das System muss dann herausfinden, ob IPsec für die gegebene angeforderte Verbindung ausgehandelt werden soll. IPsec ist sehr darauf ausgelegt, ein Low-Level-Authentifizierungs- / Verschlüsselungsmechanismus zu sein, und ist so konzipiert, dass sich Protokolle und Anwendungen höherer Ebene nicht darum kümmern müssen.

Das heißt, es ist nur eine weitere Sicherheitskontrolle auf Netzwerkebene und sollte nicht unbedingt isoliert verwendet werden oder darauf angewiesen sein, "Sicherheit" zu garantieren - wenn Sie versuchen, ein Problem zu lösen, ist es durchaus möglich, dass Sie das möchten Anwendung, um eine Art Authentifizierung auf Benutzerebene zu erzwingen, während die Authentifizierung auf Maschinenebene bis hinunter zu IPsec erfolgt.


29
2018-04-18 16:32



Danke, dass du einen schrecklich populären Mythos klar abgetan hast. - Marcin
Oh, die Dinge, die hätten sein können. Vielleicht werden wir das in ein paar hundert Jahren in IPv8 bekommen. - Michael Hampton♦
Ich bin anderer Meinung - Verschlüsselung sollte immer möglich sein und bestenfalls sehr einfach. Das Zuweisen einer bestimmten Art von Sicherheitssteuerung, unabhängig von der Existenz anderer Steuerelemente, ist etwas kurzsichtig in Bezug auf die Anwendungsfälle, in denen Sie aktiv keine Verschlüsselung auf IP-Ebene wünschen. - growse


Kurze Antwort: Nein.

Lange Antwort: IPsec wurde beim Entwurf von IPv6 in dem Sinne berücksichtigt, dass IPsec (falls verwendet) im Gegensatz zu IPv4 Teil des IPv6-Headers ist.

Weitere Erklärung: In IPv4 wird IPsec ausgeführt auf IP selbst Es ist tatsächlich ein Layer-4-Protokoll, das sich als Layer-3-Protokoll "maskiert" (damit die üblichen L4-Protokolle von TCP und UDP weiterhin funktionieren können). Das ESP (Encapsulating Security Payload) kann sich nicht zwischen IP-Paketen erstrecken. Dies hat zur Folge, dass IPsec-Pakete in der Regel die Nutzlastkapazität erheblich reduzieren, wenn die Fragmentierung verhindert wird. Da die IP-Adresse über IP liegt, ist sie nicht geschützt.

In IPv6, IPsec ist ein Teil von IP selbst Es kann Pakete umfassen, da der ESP-Header jetzt ein Teil des IP-Headers ist. Und weil es in IP integriert ist, können mehr Teile des IP-Headers geschützt werden.

Ich hoffe, meine Erklärung "in aller Kürze" ist klar genug.


18
2018-04-18 17:46



Eigentlich unterzeichnet AH die ganz Paket, was bedeutet, dass nichts geändert werden kann (d. h. NAT unterbricht es.) Aus diesem Grund verwenden nur sehr wenige IPSec-Tunnel tatsächlich AH. Und es ist einer von vielen Erweiterungsheader, nicht wörtlich "Teil des IP-Headers." - Ricky Beam


Zu Ihnen Follow-up Frage:

Das Betriebssystem legt fest, wann die Verschlüsselung verwendet werden soll. Diese "Richtlinien" -Optionen sind in Control Panels / Konfigurationsrichtlinien enthalten. Sie sagen Dinge wie "Wenn Sie eine Verbindung zu einer beliebigen Adresse im Subnetz ab12 herstellen wollen :: müssen Sie das geheime Blah1234 haben". Es gibt Optionen zur Verwendung von PKI.

Im Moment kann eine Anwendung diese Richtlinie nicht hinzufügen oder diese Richtlinie wird eingerichtet. Es gibt eine Erwähnung in der Linux-Socket-IPv6-Abschnitt "IPSec-Unterstützung für EH-und AH-Header fehlt." So Leute haben daran gedacht, aber es ist derzeit keine funktionierende Implementierungen bekannt.


2
2018-05-04 19:00





Zu Ihrer Nachfolgefrage ja und nein.

Anwendungen können die Verschlüsselung angeben, die Verschlüsselung erfolgt jedoch auf Anwendungsebene. Es gibt eine Vielzahl unverschlüsselter / verschlüsselter Protokollpaare, die verschiedene Ports verwenden, z. B. HTTP / HTTPS, LDAP / LDAPS, IMAP / IMAPS und SMTP / SSMTP. Diese verwenden alle SSL- oder TLS-Verschlüsselung. Einige Dienste bieten eine startTLS-Option, mit der eine verschlüsselte Verbindung auf dem normalerweise unverschlüsselten Port gestartet werden kann. SSH ist eine Anwendung, die immer eine verschlüsselte Verbindung verwendet. Die Verschlüsselung ist für diese Fälle Ende an Ende. (Es gibt einen NULL-Verschlüsselungsalgorithmus, der verwendet werden kann, und der verschlüsselte Inhalt wird unverschlüsselt übertragen.)

IPSEC wird vom Administrator konfiguriert, und die Anwendung erkennt nicht, ob die Verbindung verschlüsselt ist oder nicht. Ich habe hauptsächlich gesehen, IPSEC verwendet, um den Verkehr zwischen LANs über ungesicherte Verbindungen (VPN-Verbindungen) zu überbrücken. Ich glaube, dass IPSEC nur für einen Teil der Route gelten kann, daher werden die Daten in einigen Netzwerksegmenten unverschlüsselt (unverschlüsselt) übertragen.

Bei einer Wahl werde ich die Anwendungsverschlüsselung verwenden, da die Netzwerkverschlüsselung nicht stark genutzt wird.


1
2018-04-18 20:00