4

IPsec - это набор протоколов, основанный на IP. Первоначально разработанный с IPv6, он также существует в IPv4.

IPsec обеспечивает шифрованную связь между хостами на уровне IP (то есть верхним уровням, таким как TCP, HTTP или HTTPS, SSL не нужно знать о его существовании).

Ну, это звучит хорошо. я хочу, чтобы мой http-трафик на superuser.com (или мой UDP-торрент-трафик) был зашифрован. Как мне это сделать?

Уже более десяти лет Windows поддерживает IPsec, но я не думаю, что весь мой интернет-трафик (то есть что-либо, использующее интернет-протокол) зашифрован. Как мне это сделать?

Вы можете прочитать бесконечное количество технических подробностей о IPsec:

  • Заголовки аутентификации
  • Инкапсуляция полезных данных безопасности
  • Ассоциации безопасности
  • Транспортный режим / Туннельный режим

но до сих пор не найти никакой информации о том, как его использовать.

По крайней мере, VPN имеет смысл. Вы должны найти VPN-клиент и использовать его для подключения к VPN-серверу:

Но для этого требуется сервер vpn на другом конце. В этом примере это не будет работать, потому что superuser.com не запускает сервер vpn, прослушивающий порт 1723 . Но IPsec не требует "сервера" ; IPsec встроен в IP и полностью прозрачен.

Так как же сделать все мои IP-соединения зашифрованными? Как я могу использовать IPsec?

Чем больше я читаю о «безопасности Интернет-протокола» (IPsec), тем больше кажется, что вы не можете использовать его через "Интернет" - только через локальные сети.

|источник

1 ответ1

3

IPSec построен поверх IPv4 и встроен в IPv6. Однако это не означает, что если бы каждый сайт, с которым вы разговаривали, работал по IPv6, вы могли бы просто "включить" IPSec.

Чтобы зашифровать трафик между двумя точками, обе конечные точки должны участвовать в шифровании. Так что да, superuser.com не использует конечную точку IPSec VPN, поэтому вы не можете подключить к ней VPN-клиента IPSec. Если бы он работал под управлением IPv6, вам все равно нужно было бы выполнить обмен ключами, чтобы проверить подлинность двух сторон и установить ключ и методы шифрования.

Пока этого не произойдет, у вас нет возможности зашифровать данные от начала и до конца в IPSec VPN при общении с superuser.com или любым другим веб-сайтом. Сайты, которые предоставляют зашифрованные сеансы, обычно делают это с помощью SSL.

Лучшее, что вы можете сделать, если IPSec - ваш предпочтительный метод, - это определить поставщика услуг VPN, который находится "рядом" с сайтом, с которым вы хотите безопасно общаться. С точки зрения небольшого количества прыжков с VPN-шлюза, к которому вы подключаетесь, и сайта, к которому вы хотите получить доступ. Это означает, что незашифрованный трафик будет проходить через Интернет на более коротком расстоянии.

IPSec на IPv4 имеет трудности с NAT в его собственной форме, однако есть много стандартных дополнений к протоколу, которые позволяют ему проходить через NAT. Наиболее распространенным и почти повсеместно реализованным является NAT-D, использующий UDP/4500 в качестве своего транспорта, а не ESP напрямую.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .