Pertanyaan Apakah data selalu dienkripsi dalam komunikasi IPv6?


Saya tidak bisa mendapatkan jawaban langsung untuk pertanyaan ini. Wikipedia mengatakan "IPsec adalah bagian integral dari rangkaian protokol dasar dalam IPv6," tetapi apakah itu berarti bahwa SEMUA komunikasi selalu dienkripsi, atau apakah itu berarti enkripsi itu opsional, tetapi perangkat harus dapat memahaminya (sebaiknya digunakan )?

Jika enkripsi bersifat opsional, apakah sistem operasi yang memutuskan apakah akan menggunakan enkripsi, atau apakah itu aplikasi? Apakah sistem operasi dan perangkat lunak yang populer pada umumnya mengaktifkan enkripsi?

Saya akan menyelidiki ini sendiri, tetapi saya tidak memiliki konektivitas IPv6.

Memperbarui: Ok, jadi ini opsional. Pertanyaan tindak lanjut saya: biasanya, apakah aplikasi yang menentukan apakah akan menggunakan enkripsi, atau apakah itu sistem operasi?

Contoh spesifik: Bayangkan saya memiliki versi Windows terbaru dengan dukungan asli ipv6, dan saya mencari sesuatu di ipv6.google.com menggunakan Mozilla Firefox. Apakah akan dienkripsi?


27
2018-04-18 16:29




IPSec seperti kunci di pintu; mungkin bagian dari pintu, tetapi itu tidak berarti pintu itu harus dikunci. - Chris S
@Chris S: Komentar luar biasa, Anda memiliki hak pilih saya untuk itu. - SplinterReality


Jawaban:


Tidak.

IPv6 memiliki IPsec built-in sebagai bagian dari protokol, dan itu bukan bolt-on seperti halnya dengan IPv4. Namun, ini tidak berarti itu diaktifkan secara default, itu berarti itu adalah overhead (secara teoritis) lebih rendah pada tumpukan jaringan.

Umumnya, penggunaan IPsec ditentukan pada tingkat IP dari tumpukan jaringan, dan karena itu ditentukan oleh kebijakan sistem itu sendiri. misalnya Sistem A mungkin memiliki kebijakan yang mengharuskan AH dan ESP untuk berkomunikasi dengan subnet 4.0.0.0/8.

Memperbarui: harus jelas, aplikasi tidak peduli - itu hanya tahu itu harus membuka koneksi jaringan di suatu tempat dan mengirim / menerima data ke bawah. Sistem kemudian harus mencari tahu apakah akan menegosiasikan IPsec untuk koneksi yang diminta. IPsec sangat dirancang untuk menjadi mekanisme otentikasi / enkripsi tingkat rendah dan sengaja dibuat sehingga protokol dan aplikasi tingkat tinggi tidak perlu khawatir tentang itu.

Yang mengatakan, itu hanya kontrol keamanan tingkat jaringan lain, dan seharusnya tidak harus digunakan secara terpisah atau diandalkan untuk menjamin 'keamanan' - jika Anda mencoba memecahkan masalah dan otentikasi, sangat mungkin bahwa Anda ingin aplikasi untuk menegakkan semacam otentikasi tingkat pengguna sementara meninggalkan otentikasi tingkat mesin ke IPsec.


29
2018-04-18 16:32



Terima kasih karena sudah jelas menolak mitos yang sangat populer. - Marcin
Oh, hal-hal yang mungkin terjadi. Mungkin kita akan mendapatkannya di IPv8 dalam beberapa ratus tahun. - Michael Hampton♦
Saya tidak setuju - enkripsi harus selalu mungkin, dan paling baik, sangat mudah. Mandat jenis kontrol keamanan tertentu terlepas dari keberadaan kontrol lain adalah sedikit rabun dalam hal penggunaan kasus di mana Anda secara aktif tidak ingin enkripsi tingkat IP. - growse


Jawaban singkat: Tidak.

Jawaban panjang: IPsec dianggap ketika merancang IPv6, dalam arti bahwa, tidak seperti di IPv4, IPsec (bila digunakan) adalah bagian dari header IPv6.

Penjelasan lebih lanjut: di IPv4, IPsec berjalan diatas dari IP itu sendiri. Ini sebenarnya adalah protokol Layer 4 yang 'menyamar' sebagai protokol Layer 3 (sehingga protokol L4 TCP dan UDP yang biasa akan tetap dapat bekerja). ESP (Encapsulating Security Payload) tidak dapat menjangkau antara paket IP. Akibatnya, paket IPsec biasanya akan sangat mengurangi kapasitas muatan jika fragmentasi dicegah. Plus, karena ada di atas IP, header IP tidak dilindungi.

Di IPv6, IPsec bagian dari IP itu sendiri. Ini dapat menjangkau paket, karena header ESP sekarang menjadi bagian dari header IP. Dan karena itu terintegrasi dengan IP, lebih banyak bagian dari header IP dapat dilindungi.

Saya harap penjelasan saya 'singkatnya' cukup jelas.


18
2018-04-18 17:46



Sebenarnya, AH menandatangani seluruh paket, artinya tidak ada yang bisa diubah (mis. NAT merusaknya.) Inilah sebabnya mengapa sangat sedikit terowongan IPSec yang benar-benar menggunakan AH. Dan itu salah satu dari sekian banyak header ekstensi, tidak secara harfiah "bagian dari header IP." - Ricky Beam


Untuk Anda Pertanyaan Tindak Lanjut:

Sistem operasi menentukan kapan harus menggunakan enkripsi. Opsi "kebijakan" ini berada dalam panel kontrol / kebijakan konfigurasi. Anda mengatakan hal-hal seperti "jika Anda ingin terhubung ke alamat mana pun di subnet ab12 :: Anda harus memiliki rahasia Blah1234". Ada pilihan untuk menggunakan PKI.

Saat ini aplikasi tidak dapat menambah kebijakan ini atau meminta kebijakan ini disiapkan. Ada yang menyebutkan di bagian linux socket ipv6 "Dukungan IPSec untuk header EH dan AH hilang." Jadi orang telah memikirkan hal ini tetapi saat ini tidak ada implementasi kerja yang dikenal.


2
2018-05-04 19:00





Untuk pertanyaan tindak lanjut Anda ya dan tidak.

Aplikasi dapat menentukan enkripsi, tetapi enkripsi dilakukan di tingkat aplikasi. Ada berbagai macam pasangan protokol yang tidak terenkripsi / terenkripsi menggunakan port yang berbeda seperti HTTP / HTTPS, LDAP / LDAPS, IMAP / IMAPS, dan SMTP / SSMTP. Semua ini menggunakan enkripsi SSL atau TLS. Beberapa layanan akan menawarkan opsi startTLS yang memungkinkan koneksi terenkripsi untuk dimulai pada port yang biasanya tidak terenkripsi. SSH adalah aplikasi yang selalu menggunakan koneksi terenkripsi. Enkripsi adalah ujung ke ujung untuk kasus-kasus ini. (Ada algoritma enkripsi NULL yang dapat digunakan, dan konten yang dienkripsi akan diangkut tidak terenkripsi.)

IPSEC dikonfigurasi oleh administrator dan aplikasi tidak akan mengetahui apakah koneksi dienkripsi atau tidak. Saya terutama melihat IPSEC digunakan untuk menjembatani lalu lintas antara LAN melalui koneksi tidak aman (koneksi VPN). Saya percaya IPSEC mungkin berlaku untuk hanya sebagian dari rute, sehingga pada beberapa segmen jaringan data ditransmisikan secara jelas (tidak terenkripsi).

Diberikan pilihan saya akan menggunakan enkripsi aplikasi sebagai enkripsi jaringan tidak banyak digunakan.


1
2018-04-18 20:00