Relação de IPSec e IPv6 para SSL / TLS

2

Meu entendimento é que o IPSec é uma camada de segurança adicionada dentro do protocolo IP para tornar o próprio IP um transporte seguro.

Meu entendimento sobre o IPv6 é que ele é a versão mais recente do IP que (no futuro próximo) resolverá nosso dilema de exaustão de PI.

Meu entendimento sobre SSL / TLS é que eles são uma maneira de proteger o TCP, que fica no topo do IP.

Primeiro de tudo, se alguma coisa que eu disse estiver incorreta, por favor, comece corrigindo-me!

Supondo que eu esteja mais ou menos correto:

  1. O IPSec pode ser usado com IPv6 ou o IPv6 inclui o IPSec inerentemente?
  2. O SSL / TLS é um substituto adequado (com segurança e criptografia) para o IPSec?
  3. SSL / TLS são iguais ou endereçam domínios de problemas diferentes?
  4. Existe alguma coisa a ganhar com o SSL / TLS sobre o IPSec? Ou isso é muita segurança? Há perdas de desempenho de tal configuração?

Obrigado antecipadamente!

    
por pnongrata 28.07.2012 / 17:31

1 resposta

3
  1. O IETF (o órgão de padrões da Internet) fez o IPSec suportar um requisito de suporte ao IPv6. Você não tem um host totalmente compatível com IPv6 se também não suportar o IPSec. No entanto, você não precisa usar

    o IPSec o tempo todo apenas porque está usando o IPv6.
  2. Não, o SSL / TLS protege apenas a camada de transporte (camada 4) e acima. Se você quiser proteger a camada 3 (a camada de rede; IP), precisará do IPSec.
  3. O SSL foi originalmente inventado pelo Netscape para proteger o HTTP e geralmente era feito em uma porta separada (443 em vez de 80). O IETF recebeu o SSL e o transformou em TLS, tornando-o algo que poderia proteger qualquer fluxo de tráfego da camada de transporte, independentemente do protocolo, e poderia ser negociado nas portas tradicionais desses protocolos, em vez de exigir uma porta "segura" separada para cada protocolo .
  4. Isso se resume a questões fundamentais de por que os protocolos de rede são projetados em camadas e quais serviços devem ser fornecidos por camadas diferentes, e se devem ou não sempre fornecê-los. Eu recomendo que você leia o artigo End-to-End .
por 29.07.2012 / 02:22