क्या IPv6 संचार में डेटा हमेशा एन्क्रिप्ट किया जाता है?


30

मैं इस quesion के लिए एक सीधा जवाब पाने के लिए प्रतीत नहीं कर सकते। विकिपीडिया का कहना है "IPsec IPv6 में बेस प्रोटोकॉल सूट का एक अभिन्न अंग है," लेकिन इसका मतलब यह है कि सभी संचार हमेशा एन्क्रिप्टेड होते हैं, या इसका मतलब यह है कि एन्क्रिप्शन वैकल्पिक है, लेकिन उपकरणों को इसे समझने में सक्षम होना चाहिए (इसका उपयोग किया जाना चाहिए) )?

यदि एन्क्रिप्शन वैकल्पिक है, तो क्या यह ऑपरेटिंग सिस्टम है जो यह तय करता है कि एन्क्रिप्शन का उपयोग करना है, या क्या यह अनुप्रयोग है? क्या लोकप्रिय ऑपरेटिंग सिस्टम और सॉफ्टवेयर आम तौर पर एन्क्रिप्शन को सक्षम करते हैं?

मैं खुद इसकी जांच करूंगा, लेकिन मेरे पास आईपीवी 6 कनेक्टिविटी की कमी है।

अपडेट: ठीक है, इसलिए यह वैकल्पिक है। मेरा अनुवर्ती प्रश्न: आम तौर पर, क्या यह एप्लिकेशन है जो एन्क्रिप्शन का उपयोग करने को परिभाषित करता है, या यह ऑपरेटिंग सिस्टम है?

एक विशिष्ट उदाहरण: कल्पना कीजिए कि मेरे पास देशी ipv6 समर्थन के साथ विंडोज का एक हालिया संस्करण है, और मैं मोज़िला फ़ायरफ़ॉक्स का उपयोग करके ipv6.google.com पर कुछ खोज रहा हूं। क्या इसे एन्क्रिप्ट किया जाएगा?


16
IPSec एक दरवाजे पर ताला की तरह है; यह दरवाजे का हिस्सा हो सकता है, लेकिन इसका मतलब यह नहीं है कि दरवाजा जरूरी बंद है।
क्रिस एस

@ क्रिस एस: बहुत बढ़िया टिप्पणी है, आपने मेरे लिए अपना वोट दिया है।
SplinterReality

जवाबों:


31

नहीं।

IPv6 में IPsec अंतर्निहित प्रोटोकॉल के हिस्से के रूप में है, और यह IPv4 के साथ बोल्ट-ऑन के रूप में नहीं है। हालाँकि, इसका मतलब यह नहीं है कि यह डिफ़ॉल्ट रूप से सक्षम है, इसका मतलब यह है कि यह (सैद्धांतिक रूप से) नेटवर्क स्टैक पर कम ओवरहेड है।

आमतौर पर, IPsec का उपयोग नेटवर्क स्टैक के IP-स्तर पर निर्धारित किया जाता है, और इसलिए सिस्टम नीतियों द्वारा ही निर्धारित किया जाता है। उदाहरण के लिए, सिस्टम A में एक नीति हो सकती है जिसके लिए AH और ESP दोनों को 4.0.0.0/8 सबनेट के साथ किसी भी संचार की आवश्यकता होती है।

अपडेट: स्पष्ट होने के लिए, एप्लिकेशन परवाह नहीं करता है - यह सिर्फ जानता है कि इसे कहीं पर एक नेटवर्क कनेक्शन खोलना है और इसे नीचे डेटा भेजना / प्राप्त करना है। सिस्टम को यह पता लगाना होता है कि दिए गए अनुरोधित कनेक्शन के लिए IPsec से बातचीत करनी है या नहीं। IPsec को बहुत ही निम्न स्तर के प्रमाणीकरण / एन्क्रिप्शन तंत्र के रूप में डिज़ाइन किया गया है और इसे उद्देश्यपूर्ण तरीके से बनाया गया है ताकि उच्च स्तर के प्रोटोकॉल और अनुप्रयोगों को इसके बारे में चिंता न करनी पड़े।

यह कहा गया, यह सिर्फ एक और नेटवर्क-स्तरीय सुरक्षा नियंत्रण है, और 'सुरक्षा' की गारंटी के लिए इसे अलग-थलग या इस्तेमाल नहीं किया जाना चाहिए - यदि आप समस्या को हल करने और प्रमाणीकरण की कोशिश कर रहे हैं, तो यह पूरी तरह से संभव है कि आप चाहते हैं; IPsec के लिए मशीन-स्तर प्रमाणीकरण छोड़ने के दौरान उपयोगकर्ता-स्तर प्रमाणीकरण के कुछ प्रकार को लागू करने के लिए आवेदन।


1
स्पष्ट रूप से एक भयानक रूप से लोकप्रिय मिथक को खारिज करने के लिए धन्यवाद।
मार्सिन

3
ओह, जो चीजें हो सकती थीं। शायद हम इसे कुछ सौ वर्षों में आईपीवी 8 में प्राप्त करेंगे।
माइकल हैम्पटन

1
मैं असहमत हूं - एन्क्रिप्शन हमेशा संभव होना चाहिए, और सबसे अच्छा, बहुत आसान। अन्य नियंत्रणों की मौजूदगी की परवाह किए बिना एक निश्चित प्रकार के सुरक्षा नियंत्रण को रखना उपयोग के मामलों के संबंध में थोड़ा अदूरदर्शी है जहां आप सक्रिय रूप से आईपी-स्तर एन्क्रिप्शन नहीं चाहते हैं।
9

20

संक्षिप्त उत्तर: नहीं।

दीर्घ उत्तर: आईपीवी 6 को डिजाइन करते समय, आईपीवी 6 के विपरीत, आईपीवी 6 (आईपीए) के विपरीत, आईपीवी 6 हेडर का एक हिस्सा था।

अधिक स्पष्टीकरण: IPv4 में, IPsec IP के शीर्ष पर चलता है। यह वास्तव में एक लेयर 4 प्रोटोकॉल है जो लेयर 3 प्रोटोकॉल के रूप में 'मस्काराडेस' करता है (ताकि टीसीपी और यूडीपी के सामान्य एल 4 प्रोटोकॉल अभी भी काम कर पाएंगे)। ईएसपी (एनकैप्सुलेटिंग सिक्योरिटी पेलोड) आईपी पैकेट के बीच नहीं फैल सकता है। परिणामस्वरूप, यदि विखंडन को रोक दिया जाता है, तो आमतौर पर IPsec पैकेट में पेलोड क्षमता कम हो जाती है। प्लस, क्योंकि यह आईपी के ऊपर है, आईपी के हेडर को संरक्षित नहीं किया गया है।

IPv6 में, IPsec IP का ही हिस्सा है। यह पैकेटों को फैला सकता है, क्योंकि ईएसपी हेडर अब आईपी हेडर का एक हिस्सा है। और क्योंकि यह आईपी के साथ एकीकृत है, इसलिए आईपी हेडर के अधिक हिस्सों को संरक्षित किया जा सकता है।

मुझे उम्मीद है कि मेरा 'संक्षेप में' स्पष्टीकरण काफी स्पष्ट है।


1
दरअसल, AH पूरे पैकेट पर हस्ताक्षर करता है , जिसका अर्थ कुछ भी नहीं बदला जा सकता है (यानी NAT इसे तोड़ता है।) यही कारण है कि बहुत कम IPSec सुरंग वास्तव में AH का उपयोग करती हैं। और यह कई एक्सटेंशन हेडर में से एक है , न कि "आईपी के हेडर का हिस्सा"।
रिकी बीम

2

आप अनुवर्ती प्रश्न के लिए:

एन्क्रिप्शन का उपयोग करने के लिए ऑपरेटिंग सिस्टम परिभाषित करता है। ये "नीति" विकल्प नियंत्रण कक्ष / कॉन्फ़िगरेशन नीतियों के भीतर हैं। आप "सबनेट एबी 12 में किसी भी पते से जुड़ना चाहते हैं" जैसी बातें कहते हैं :: आपके पास गुप्त ब्लाह 1234 होना चाहिए। पीकेआई का उपयोग करने के लिए विकल्प हैं।

फिलहाल कोई एप्लिकेशन इस पॉलिसी में शामिल नहीं हो सकता है या इस पॉलिसी की मांग नहीं करता है। लिनक्स सॉकेट ipv6 अनुभाग में एक उल्लेख है "EH और AH हेडर के लिए IPSec समर्थन गायब है।"


1

आपके अनुवर्ती प्रश्न के लिए हाँ और नहीं।

अनुप्रयोग एन्क्रिप्शन निर्दिष्ट कर सकते हैं, लेकिन एन्क्रिप्शन अनुप्रयोग स्तर पर किया जाता है। HTTP / HTTPS, LDAP / LDAPS, IMAP / IMAPS और SMTP / SSMTP जैसे विभिन्न बंदरगाहों का उपयोग करते हुए विभिन्न प्रकार के अनएन्क्रिप्टेड / एन्क्रिप्टेड प्रोटोकॉल जोड़े हैं। ये सभी SSL या TLS एन्क्रिप्शन का उपयोग करते हैं। कुछ सेवाएं एक startTLS विकल्प प्रदान करेंगी जो एक एन्क्रिप्टेड कनेक्शन को सामान्य रूप से अनएन्क्रिप्टेड पोर्ट पर शुरू करने की अनुमति देता है। SSH एक एप्लिकेशन है जो हमेशा एक एन्क्रिप्टेड कनेक्शन का उपयोग करता है। इन मामलों के लिए एन्क्रिप्शन समाप्त होने वाला है। (एक NULL एन्क्रिप्शन एल्गोरिथम है जिसका उपयोग किया जा सकता है, और एन्क्रिप्ट की गई सामग्री को अनएन्क्रिप्टेड में ले जाया जाएगा।)

IPSEC को व्यवस्थापक द्वारा कॉन्फ़िगर किया गया है और एप्लिकेशन को पता नहीं होगा कि कनेक्शन एन्क्रिप्ट किया गया है या नहीं। मैंने मुख्य रूप से असुरक्षित कनेक्शनों (वीपीएन कनेक्शन) पर LAN के बीच यातायात को पाटने के लिए IPSEC का उपयोग किया है। मेरा मानना ​​है कि IPSEC मार्ग के केवल भाग पर लागू हो सकता है, इसलिए कुछ नेटवर्क खंडों पर डेटा स्पष्ट (अनएन्क्रिप्टेड) ​​में प्रेषित होता है।

एक विकल्प को देखते हुए मैं एप्लिकेशन एन्क्रिप्शन का उपयोग करूंगा क्योंकि नेटवर्क एन्क्रिप्शन का भारी उपयोग नहीं किया जाता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.