web-dev-qa-db-fra.com

Les données sont-elles toujours cryptées dans les communications IPv6?

Je ne peux pas sembler avoir une réponse directe à cette question. Wikipedia dit "IPsec fait partie intégrante de la suite de protocoles de base dans IPv6", mais cela signifie-t-il que toutes les communications sont toujours cryptées ou que cela signifie-t-il que le cryptage est facultatif, mais les périphériques doivent pouvoir le comprendre (devrait-il être utilisé? )?

Si le cryptage est facultatif, est-ce le système d'exploitation qui décide d'utiliser le cryptage ou s'agit-il de l'application? Les systèmes d'exploitation et les logiciels d'exploitation sont-ils généralement activer le cryptage?

J'éjoutais moi-même, mais je manque de connectivité IPv6.

Mise à jour : OK, il est donc facultatif. Ma question de suivi: Typiquement, est-ce que l'application définit si l'utilisation de cryptage ou est-ce le système d'exploitation?

Exemple spécifique: Imaginez avoir une version récente de Windows avec support IPv6 natif, et je recherche quelque chose sur ipv6.google.com à l'aide de Mozilla Firefox. Serait-il crypté?

30
alan

Non.

IPv6 a IPsec intégré dans le cadre du protocole, et ce n'est pas un boulon tel qu'il est avec IPv4. Cependant, cela ne signifie pas que c'est activé par défaut, cela signifie simplement qu'il s'agit d'une surcharge inférieure (théoriquement) sur la pile réseau.

En règle générale, l'utilisation IPsec est déterminée au niveau IP de la pile de réseau, et donc déterminée par les politiques système elles-mêmes. par exemple. Le système A peut avoir une stratégie nécessitant à la fois AH et ESP pour avoir une communication avec le sous-réseau 4.0.0.0.0/8.

Mise à jour : Pour être claire, l'application ne se soucie pas - elle sait simplement qu'il doit ouvrir une connexion réseau quelque part et envoyer/recevoir des données. Le système doit ensuite déterminer s'il faut négocier IPSec pour la connexion demandée donnée. IPsec est très conçu pour être un mécanisme d'authentification/cryptage de bas niveau et est obligé de manière à ce que les protocoles et les applications de niveau supérieur ne soient pas à s'inquiéter.

Cela dit, il s'agit simplement d'un autre contrôle de la sécurité au niveau du réseau et ne devrait pas nécessairement être utilisé dans l'isolement ou compté pour garantir la "sécurité" - si vous essayez de résoudre et de résoudre le problème de l'authentification, c'est tout à fait possible que vous voudriez que vous souhaitiez la Application pour appliquer une sorte d'authentification au niveau de l'utilisateur tout en laissant l'authentification au niveau de la machine vers IPSec.

31
growse

Réponse courte: Non.

Réponse longue: IPsec a été prise en compte lors de la conception de IPv6, dans le sens où, contrairement à IPv4, IPSec (lorsqu'il est utilisé) fait partie de l'en-tête IPv6.

Plus d'explication: dans IPv4, IPsec est exécutée sur le dessus IP elle-même. Il s'agit en fait d'un protocole de couche 4 qui "mascolères" comme un protocole de couche 3 (afin que les protocoles L4 habituels de TCP et UDP puissent toujours travailler). Le ESP (Encapsulation de la charge utile de sécurité) ne peut pas s'étendre entre les paquets IP. En conséquence, les paquets IPsec auront généralement une capacité de charge utile sévère si la fragmentation est évitée. De plus, car il est au-dessus de la propriété intellectuelle, l'en-tête IP n'est pas protégé.

Dans IPv6, IPsec fait partie de IP elle-même. Il peut couvrir des paquets, car le ESP Header fait désormais partie de l'en-tête de la propriété intellectuelle. Et car il est intégré à IP, plus de parties de l'en-tête IP peuvent être protégées.

J'espère que mon explication "en noisette" est assez claire.

20
pepoluan

À votre question de suivi:

Le système d'exploitation définit quand utiliser le cryptage. Ces options "Politique" sont dans les stratégies de contrôle des panneaux/de configuration. Vous dites des choses comme "Si vous voulez vous connecter à une adresse dans Subnet AB12 :: Vous devez avoir secret BLAH1234". Il existe des options pour utiliser PKI.

Pour le moment, une application ne peut pas ajouter à cette politique ni à la demande, cette stratégie est configurée. Il y a une mention dans la section Linux Socket IPv6 "Support IPsec pour les en-têtes EH et AH est manquante." Alors les gens en ont pensé, mais il n'y a actuellement aucune mise en œuvre de travail connue.

2
Mike F

À votre question de suivi oui et non.

Les applications peuvent spécifier le cryptage, mais le cryptage est effectué au niveau de l'application. Il existe une grande variété de paires de protocoles non cryptées/cryptées à l'aide de différents ports tels que HTTP/HTTPS, LDAP/LDAPS, IMAP/IMAPS et SMTP/SSMTP. Ceux-ci utilisent tous les chiffres SSL ou TLS. Certains services offriront une option StartTLS qui permettra une connexion cryptée à être démarrée sur le port normalement non crypté. SSH est une application qui utilise toujours une connexion cryptée. Le cryptage est à la fin de ces cas. (Il existe un algorithme de cryptage NULL qui peut être utilisé et le contenu crypté sera transporté non crypté.)

IPsec est configuré par l'administrateur et l'application ne sera pas connue si la connexion est cryptée ou non. J'ai principalement vu IPsec utilisé pour combler le trafic entre les ordinateurs de réception sur des connexions non sécurisées (connexions VPN). Je pense que IPSec ne peut s'appliquer qu'à une partie de la route, donc sur certains segments de réseau que les données sont transmises dans le clair (non crypté).

Compte tenu d'un choix, j'utiliserai le cryptage d'applications car le cryptage réseau n'est pas fortement utilisé.

1
BillThor