 |
1
ruandao May 9, 2019
ipv6 不是个地址扩充吗? 6 字节的 ip 地址
|
 |
2
shansing May 9, 2019
印象中最初的 IPv6 标准议案是有 ipsec 的,但由于现实原因变为非强制了。
|
 |
3
Tianao May 9, 2019  7
挑几个答:
ipv6 的加密是通过 ipsec 实现的吗? 在 IP 层是的。 默认状态是开启还是关闭呢? 关闭的,以前的 RFC 规定是默认开启的,后来改掉了。 ipsec 是在系统层实现的吗? 不是在操作系统内核实现的,但大多数操作系统都提供系统级支持。 ipv6 的加密对硬件性能有要求吗? 取决于加密( AES、3DES 等)和完整性( MD5、SHA 等)算法,与 IPv6 或 IPsec 本身无关。 对系统性能的影响有多大呢? 取决于是否有硬件加速( offloading ),有就不大,比如一些采用 MIPS、ARM 架构的专门为 VPN 设计的硬件路由器、防火墙、多业务网关,虽然 CPU 参数不高,但开启 IPsec 后对性能影响很小;反观一些凌动、赛扬的软路由,如果无法成功调用硬件加速,IPsec 性能就惨不忍睹。 ipv6 加密的安全性如何? 同上,取决于加密算法和完整性算法,此外还取决于认证算法。 加密后是不是就对中间人攻击和监听都免疫了? 加密只能防旁路监听,防中间人和重放攻击要靠认证( PSK、Kerberos、证书等)和完整性保护(哈希校验等)。 |
 |
4
nfroot May 9, 2019
ipsec 应该是要吃性能的……为了性能还是不加密吧。。
虽然现在的光猫都开始搞硬件加密了。。。 |
 |
5
qwerthhusn May 9, 2019 via iPhone
@Tianao 有了 ipsec,还有必要在第七层开 tls 吗?
|
 |
6
zwy100e72 May 10, 2019
|
 |
7
brMu OP |
 |
8
ghostheaven May 10, 2019 via Android
请问下端到端的 ip 协议的加密连接怎么建立呢 @Tianao
|
 |
11
julyclyde May 10, 2019
@qwerthhusn tls 在四层
|
|
12
Tianao May 10, 2019 2
@qwerthhusn
有必要,简单来讲,永远不要信任自己用户其他服务的提供商。IP 层提供是主机到主机的通信,因此 IPsec 提供的是主机到主机的安全,而 TLS 可以提供端口到端口的安全,因此 TLS 提供的管道末端比 IPsec 更靠近最终应用。通常情况下,端口到端口既应用到应用。 @brMu 默认开启不是挺好吗?出于什么考虑给取消掉了呢? 如 #9 所说,有在物联网设备等嵌入式设备上性能、成本和复杂性方面的考量,但更多的是因为公钥基础设施(证书体系)的不完善。我个人同时认为,主机到主机的安全隧道既不能替代高层安全方法,也不是为不受保护的高层流量提供透明安全的理想且优雅的选择。 ipset 开启后,对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢? 是的,所以历史包袱很重,你看现在大多运营商门户虽然支持了 IPv6 却没有支持 HTTPS。 @cwbsw 查了一下确实是这样,从 2.6 版本开始 Linux 内核已经实现了 IPsec。 |
|
13
qwerthhusn May 10, 2019
@julyclyde 你说的是 TCP/IP 四层模型的话,在第四层吧???反正不管是四层五层七层,这个应该在倒数第二层
|
 |
14
qwvy2g May 10, 2019 via Android
有没有什么办法在两个 ipv6 主机重新打开这个功能?比如从路由到虚拟服务器?
|
Select Language