データは常にIPv6通信で暗号化されていますか?

30

私はこの質問にまっすぐな答えを得ることができないようです。ウィキペディアは「IPsecはIPv6の基本プロトコルスイートの不可欠な部分です」と言いますが、それはすべての通信が常に暗号化されることを意味します、または暗号化はオプションであることを意味しますが、デバイスはそれを理解できる必要があります(使用されるべきです) )?

暗号化がオプションの場合、暗号化を使用するかどうかを決定するのはオペレーティングシステムですか、それともアプリケーションですか?一般的に、一般的なオペレーティングシステムとソフトウェアは暗号化を有効にしますか?

私は自分でこれを調査しますが、IPv6接続が不足しています。

更新: OK、それはオプションです。私のフォローアップの質問:通常、それは暗号化を使用するかどうかを定義するアプリケーションですか、それともオペレーティングシステムですか?

具体的な例:ネイティブipv6をサポートする最新バージョンのWindowsがあり、Mozilla Firefoxを使用してipv6.google.comで何かを検索すると想像してください。暗号化されますか?

encryption  ipv6  ipsec 
アラン
ソース
16
IPSecはドアの錠のようなものです。それはドアの一部かもしれませんが、ドアが必ずしもロックされているという意味ではありません。
クリスS
@クリスS:素晴らしいコメント、あなたはそのための私の賛成票を持っています。
SplinterReality

回答:

31

いや

IPv6にはプロトコルの一部としてIPsecが組み込まれていますが、IPv4のようにボルトオンではありません。ただし、これはデフォルトで有効になっていることを意味するのではなく、ネットワークスタックのオーバーヘッドが(理論的に)低いことを意味しているだけです。

通常、IPsecの使用はネットワークスタックのIPレベルで決定されるため、システムポリシー自体によって決定されます。たとえば、システムAには、AHとESPの両方に4.0.0.0/8サブネットとの通信を要求するポリシーがあります。

更新:明確にするために、アプリケーションは気にしません-どこかでネットワーク接続を開き、データを送受信する必要があることを知っているだけです。システムは、指定された要求された接続に対してIPsecをネゴシエートするかどうかを判断する必要があります。IPsecは、低レベルの認証/暗号化メカニズムとして設計されており、意図的に構築されているため、高レベルのプロトコルやアプリケーションは心配する必要がありません。

ただし、これは単なるネットワークレベルのセキュリティコントロールであり、必ずしも単独で使用したり、「セキュリティ」を保証するために依存したりする必要はありません-認証の問題を解決しようとしている場合は、マシンレベルの認証をIPsecに任せながら、ある種のユーザーレベルの認証を強制するアプリケーション。

成長する
ソース
1
恐ろしく人気のある神話を明確に却下していただきありがとうございます。
マーチン
3
ああ、あったかもしれないこと。おそらく、これは数百年後にIPv8で実現するでしょう。
マイケルハンプトン
1
私は同意しません-暗号化は常に可能であり、せいぜい非常に簡単であるべきです。他のコントロールの存在に関係なく特定の種類のセキュリティコントロールを義務付けることは、IPレベルの暗号化を積極的に必要としないユースケースに関しては少し近視眼的です。
-9:
20

短い答え:いいえ。

長い答え:IPsecは、IPv4とは異なり、IPsec(使用される場合)がIPv6ヘッダーの一部であるという意味で、IPv6を設計するときに考慮されました。

詳細説明:IPv4では、IPsec IP自体の上で実行さます。これは、実際にはレイヤー3プロトコルとして「マスカレード」するレイヤー4プロトコルです(そのため、TCPとUDPの通常のL4プロトコルは引き続き機能します)。ESP(カプセル化セキュリティペイロード)はIPパケット間でスパンできません。その結果、断片化が防止される場合、IPsecパケットのペイロード容量は通常大幅に減少します。さらに、IPの上にあるため、IPのヘッダーは保護されません。

IPv6では、IPsec IP自体の一部です。ESPヘッダーは現在IPのヘッダーの一部であるため、パケットをスパンできます。また、IPと統合されているため、IPヘッダーのより多くの部分を保護できます。

私の「一言で言えば」説明が十分に明確であることを願っています。

ペポルアン
ソース
1
実際、AHはパケット全体に署名します。つまり、何も変更できないことを意味します(つまり、NATはそれを壊します)。そして、それは文字通り「IPのヘッダーの一部」ではなく、多くの拡張ヘッダーの1つです。
リッキービーム
2

フォローアップの質問:

オペレーティングシステムは、暗号化をいつ使用するかを定義します。これらの「ポリシー」オプションは、コントロールパネル/構成ポリシー内にあります。「サブネットab12 ::の任意のアドレスに接続する場合は、秘密のBlah1234が必要です」などのことを言います。PKIを使用するオプションがあります。

現時点では、アプリケーションはこのポリシーに追加することも、このポリシーのセットアップを要求することもできません。Linuxソケットのipv6セクションに「EHおよびAHヘッダーのIPSecサポートがありません。」という記述があるため、人々はこれを考えていましたが、現在、動作する実装は確認されていません。

マイク・F
ソース
1

あなたのフォローアップの質問にイエスとノー。

アプリケーションは暗号化を指定できますが、暗号化はアプリケーションレベルで行われます。HTTP / HTTPS、LDAP / LDAPS、IMAP / IMAPS、SMTP / SSMTPなどの異なるポートを使用する、さまざまな非暗号化/暗号化プロトコルのペアがあります。これらはすべてSSLまたはTLS暗号化を使用します。一部のサービスは、通常は暗号化されていないポートで暗号化された接続を開始できるstartTLSオプションを提供します。SSHは、暗号化された接続を常に使用するアプリケーションです。これらの場合、暗号化はエンドツーエンドです。(使用できるNULL暗号化アルゴリズムがあり、暗号化されたコンテンツは暗号化されずに転送されます。)

IPSECは管理者によって構成され、アプリケーションは接続が暗号化されているかどうかを認識しません。私は主に、IPSECが安全でない接続(VPN接続)を介してLAN間のトラフィックをブリッジするのに使用されるのを見てきました。IPSECはルートの一部にのみ適用されると考えられるため、一部のネットワークセグメントでは、データは平文(暗号化されていない)で送信されます。

ネットワーク暗号化はあまり使用されないため、選択を前提としてアプリケーション暗号化を使用します。

ビルソー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.