2

Я прочитал, что IPSec является обязательным для реализации IPv6. Означает ли это, что он должен обрабатываться ОС и что конфигурация IPSec должна быть обязательной для работы IPv6? Если так, то почему это не так? У меня есть рабочий туннель 6-в-4 между двумя компьютерами с Ubuntu, и IPv6, кажется, совершенно счастлив без настроенного / работающего IPSec.

Также я читал, что для Ubuntu IPSec для IPv6 можно настроить с помощью внешнего программного обеспечения (racoon?). Почему IPSec не обязательно использовать с реализацией IPv6 в Ubuntu?

|источник

3 ответа3

7

Для реализаций обязательно поддерживать IPSec для IPv6, но не обязательно включать его. И даже обязательный (ДОЛЖЕН на языке IETF) заменяется на очень строгую рекомендацию (ДОЛЖНА на языке IETF, т.е. внедрять, если у вас нет очень веских причин не делать этого) в последних обновлениях RFC.

Большая проблема с безопасностью состоит в том, что это невозможно сделать полностью автоматически. Если бы это было так, то любой мог бы автоматически присоединиться ;-) Настройка системы для управления открытыми / закрытыми ключами, сертификатами и т.д. (PKI: Инфраструктура открытых ключей) всегда является проблемой при выполнении такого рода безопасности.

PS: тот IPSec, который требуется, ничего не говорит о том, где он реализован. Реализация IPSec в отдельном пакете все еще означает, что все соответствует стандартам.

|источник
2

Поддержка IPSec обязательна на уровне протокола. Реализация и использование не являются.

|источник
2

зачем мне внешний демон?

Ядро Linux поддерживает IPsec в том смысле, что оно может автоматически и прозрачно шифровать / дешифровать ESP-пакеты или добавлять / проверять заголовки AD при наличии ключей шифрования.

Тем не менее, вам все еще нужно программное обеспечение, которое будет управлять этими ключами шифрования - вот где приходят Racoon или StrongSwan. Они заботятся об аутентификации и обмене ключами (IKE, IKEv2, Kerberos); они поддерживают назначения ключей (статический ключ для хоста X, сертификат X.509 для хоста Y); они рассказывают ядру о новых и удаленных ассоциациях безопасности. Выполнение всех этих операций в пользовательском пространстве повышает безопасность и надежность, а также позволяет использовать новые протоколы аутентификации или обмена ключами без необходимости перестраивать ядро. Кроме того, многие из этих протоколов уже имеют хорошо протестированные реализации в пользовательском пространстве; выполнение всего в ядре потребовало бы дублирования большого количества кода.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .