it-swarm-es.com

Datos de IPsec (seguridad del protocolo de Internet)

Internet Protocol Security (IPsec) es un sucesor del estándar de ISO Network Layer Security Protocol (NLSP). ¿Cuáles son las ventajas, desventajas y otros datos interesantes sobre el protocolo?

24
Eric Warriner

IPsec es en realidad una familia de protocolos, tiene varios subprotocolos que podrían usarse o no, y la seguridad general depende de cada uno de ellos y de cómo están configurados:

  • IKE para negociación de protocolos y gestión de claves
  • AH para autenticación, integridad y creo que alguna protección de protocolo
  • ESP para el cifrado y algo más.

Ventajas:

  • Transparente para aplicaciones y usuarios (en la mayoría de los escenarios). Para enfatizar, este no es un punto trivial: he tenido muchas veces cuando mis recomendaciones a los clientes serían encriptar el canal, p. con SSL, sin embargo, no tienen acceso al código fuente, o el proveedor no admite SSL, etc., e IPsec es básicamente un cifrado directo (en lo que respecta a la aplicación) y está totalmente fuera de la vista de la aplicación.
  • Muy seguro, si se implementa correctamente
  • Menos propenso a errores del usuario (como SSL)
  • Más eficiente que SSL, si está encriptando la mayor parte del tráfico de todos modos

Desventajas

  • Puede ser complejo de implementar, dependiendo de su red y requisitos
  • No se puede usar a través de Internet o con clientes desconocidos (está bien, no es estrictamente preciso, pero sigue siendo válido para la mayoría de los propósitos y propósitos).
  • Puede proporcionar una falsa sensación de seguridad a los administradores de red, si se implementa incorrectamente (por ejemplo, sin ESP, pero bueno, tengo IPsec, ¿verdad?).
  • Mucho menos eficiente que p. SSL, si no necesita cifrar todo el tráfico (pero IPsec lo hará de todos modos).
18
AviD

IPsec proporciona dos modos:

  • Encabezado de autenticación : cada paquete tiene un adjunto Código de autenticación de mensaje que garantiza su integridad; Esto también incluye cierta protección contra ataques de repetición (cuando el atacante envía copias de un paquete previamente intercambiado).

  • Carga de seguridad encapsulada : cada paquete está encriptado (y también tiene un MAC); el cifrado cubre no solo los datos del paquete sino también la mayor parte del encabezado; Se agrega un nuevo encabezado. Esto se puede usar para enviar el paquete a un Host de descifrado que luego lo enrutará a su destino final (el atacante no puede saber adónde está destinado realmente el paquete).

La criptografía es sólida, ya que pasó por el mismo ciclo doloroso de especificación-ataque-reparación que otros protocolos como SSL o SSH.

La principal diferencia con SSL es que IPsec se ejecuta a nivel de máquina: protege los datos de una máquina a otra, mientras que SSL está entre aplicaciones (por ejemplo, un navegador web y un servidor web). En la mayoría de los contextos (pero no en todos), esto no hace una diferencia relevante, pero aún así es bueno recordarlo.

La mayor diferencia práctica es que la PC de Average Joe es un motor con capacidad SSL totalmente configurada, pero cualquier intento de IPsec puede fallar, ya que requeriría que Joe juegue un poco con su configuración (la mayoría de los sistemas operativos implementan IPsec, incluido Windows desde Windows 2000, pero la implementación no es un problema: la configuración sí).

IPsec es un componente obligatorio de IPv6 , por lo que IPsec se extenderá al menos cuando IPv6 prevalezca, un evento que se suponía que tendría lugar en 2007 ...

8
Thomas Pornin

IPsec fue diseñado para mejorar la seguridad, pero nuevamente, este protocolo tampoco está tan cerca de la solución ideal. Una de las ventajas que viene a la mente es la seguridad, eso es obvio. Dependiendo de la situación, puede tener las siguientes desventajas:

  • el cifrado/descifrado utilizará algunos recursos de la CPU;
  • puede ser complicado administrar la política de tráfico para redes complejas;
  • la seguridad prometida es cuestionable si IPsec se usa en modo de transporte;
3
anonymous

No opera/escala a las necesidades de las redes basadas en la nube y, por lo tanto, es irrelevante (o pronto lo será)

1
atdre