IPSec टनलिंग मोड बनाम ट्रांसपोर्ट मोड बनाम ट्रांसपोर्ट + L2TP


1

कई डॉक्स के अनुसार, परिवहन मोड का उपयोग होस्ट-टू-होस्ट IPSec में किया जाना चाहिए, जबकि सुरंगों का उपयोग गेटवे को जोड़ने के लिए किया जाता है और रिमोट एक्सेस के लिए L2TP का उपयोग किया जाता है।

लेकिन कुछ भी मुझे गेटवे-टू-गेटवे में परिवहन मोड का उपयोग करने से रोकता है, है ना? एक गेटवे ईएसपी (या एएच) पढ़ सकता है, इसे हटा सकता है, और अपने नेटवर्क पर नंगे आईपी पैकेट को रूट कर सकता है।

और मैं अपने पीसी और डेटाबेस सर्वर के बीच सुरंग मोड का उपयोग कर सकता हूं। संभवतः प्रत्येक पैकेट को अलग-अलग यूडीपी में लपेटना निरर्थक है, लेकिन उपयोग करने योग्य है।

और मैं रिमोट एक्सेस के लिए नंगे IPSec (L2TP के साथ) का उपयोग कर सकता हूं अगर मैं अपने पीसी पर एकमात्र उपयोगकर्ता हूं। मेरे पास आईपीसीपी और अन्य पीपीपी सामान के माध्यम से लेखांकन, नेटवर्क कॉन्फ़िगरेशन नहीं होगा, लेकिन इसकी हमेशा आवश्यकता नहीं होती है।

आखिरकार, L2TP का उपयोग 2 गेटवे को जोड़ने के लिए किया जा सकता है;)

तो, मेरा सवाल यह है कि ये सभी दृष्टिकोण मौजूद क्यों हैं और एक दूसरे की नकल करते हैं? क्यों IPSec परिवहन अभी भी मौजूद है अगर लगभग हमेशा इसे टनलिंग में बदला जा सकता है और इसके विपरीत? क्या आप मुझे उस स्थिति का उदाहरण दे सकते हैं जब इन विधियों में से एक "उपयोग करने के लिए एकमात्र सही" है?

जवाबों:


1

क्यों IPSec परिवहन अभी भी मौजूद है अगर लगभग हमेशा इसे टनलिंग में बदला जा सकता है और इसके विपरीत?

मुझे आज नेटवर्क डिवाइस उपयोगकर्ता की सामान्य आबादी में उपयोग किया जाने वाला ट्रांसपोर्ट मोड IPSec नहीं दिखता है। मुझे लगता है कि यह सार्वभौमिक रूप से तैनात होने के लिए पर्याप्त गति का निर्माण कभी नहीं हुआ। सॉफ्टवेयर और नेटवर्क विक्रेताओं के पास रिमोट एक्सेस की जरूरत वाले एंटरप्राइज ग्राहकों को टनल मोड इंप्लीमेंटेशन (प्लस वाइड बैकेंड) बेचने के लिए प्रेरणा थी, लेकिन किसी को भी ट्रांसपोर्ट मोड नहीं दिया। क्षमताओं का अस्तित्व हो सकता है, लेकिन उपयोग में आसानी अभी भी वांछित होने के लिए बहुत कुछ छोड़ देती है।

तो यह मौजूद है, लेकिन क्या यह अभी भी प्रासंगिक है? परिवहन मोड ऐतिहासिक रूप से बड़ी संख्या में उपयोगकर्ताओं के लिए सुलभ नहीं था। एक अपवाद मुफ्त सॉफ्टवेयर लोग थे।

IPsec के लिए अवसरवादी एन्क्रिप्शन का इतिहास और कार्यान्वयन की स्थिति

उपरोक्त लिंक में IPSec को हर जगह उपयोग में लाने के ऐतिहासिक प्रयास का वर्णन किया गया है, और उन प्रयासों को किस तरह से परिभाषित किया गया है। कारणों को इंटरनेट इन्फ्रास्ट्रक्चर (यानी DNS) की असुरक्षा के रूप में संक्षेपित किया जा सकता है, और इसे बदलने के लिए इसमें शामिल लोगों की रिश्तेदार शालीनता।

ये सभी दृष्टिकोण मौजूद क्यों हैं और एक दूसरे की नकल करते हैं?

ये सभी दृष्टिकोण मुख्य रूप से लगभग समान अवधि में, सुरक्षित रिमोट एक्सेस की आवश्यकता की विविधताओं की स्वतंत्र पहचान और समाधान के कारण मौजूद हैं। आपके प्रश्न का थोड़ा सुधरा हुआ संस्करण हो सकता है "ये सभी दृष्टिकोण अभी भी उपयोग में क्यों हैं?"

आपने अपने स्वयं के प्रश्न का उत्तर दिया है कि क्यों L2TP अभी भी उपयोग में है: लेखांकन और कॉन्फ़िगरेशन। (यह देखने के लिए अधिक दिलचस्प हो सकता है कि अन्य प्रोटोकॉल, जैसे कि PPTP, अब उपयोग में नहीं हैं।) कई मामलों में, भले ही आप लेखांकन और कॉन्फ़िगरेशन की परवाह न करें,

अन्य मामलों में उत्तर उतना स्पष्ट नहीं है। गेटवे-टू-गेटवे मामले को लें। आप शुद्ध टनल मोड IPSec का उपयोग कर सकते हैं, या IPSec पर GRE सुरंगों का उपयोग कर सकते हैं (वास्तव में, मेरा मानना ​​है कि वे ट्रांसपोर्ट मोड IPSec से अधिक हैं)। मुझे नहीं पता कि परिचित के अलावा कोई एक तरीका या दूसरा फायदा है। व्यक्तिगत रूप से, मैंने कभी भी सिस्को राउटर पर टनल मोड IPSec स्थापित नहीं किया है। मैंने हमेशा जीआरई एन्क्रिप्टेड किया है। क्यों? क्योंकि मुझे सादे जीआरई के बारे में जो कुछ भी पता है वह एन्क्रिप्टेड जीआरई पर लागू होता है। इसलिए यह मेरे लिए परिचित है।

एप्लिकेशन स्तर के वीपीएन / सुरंगों को न भूलें, जैसे कि ओपनवीपीएन या सिक्योर शेल। इनमें आमतौर पर कर्नेल- या उपकरण-स्तरीय कार्यान्वयन की तुलना में खराब प्रदर्शन होता है। लेकिन वे (और) आम तौर पर उपयोग करने में आसान होते हैं और उन्हें अधिक आसानी से प्रॉक्सी और फायरवॉल के माध्यम से प्राप्त करने का लाभ होता था (कम से कम गहरे सामग्री निरीक्षण के आगमन तक)। इसके अलावा, उनके पास अक्सर कम निर्भरता होती है; IPSec का समर्थन करने के लिए कर्नेल को फिर से शुरू करने की तुलना में एक पुराने लिनक्स सर्वर पर OpenVPN संकलित करना बहुत आसान है।

क्या आप मुझे उस स्थिति का उदाहरण दे सकते हैं जब इन विधियों में से एक "उपयोग करने के लिए एकमात्र सही" है?

नेटवर्किंग में (कंप्यूटिंग में इतना अधिक साथ), आप कभी भी "केवल एक ही सही उपयोग करने के लिए" नहीं देखेंगे। ज्यादातर मामलों में, आप जो संभव है, उसमें फंस जाते हैं। उदाहरण के लिए, सभी एंड्रॉइड डिवाइस L2TP- आधारित वीपीएन के साथ काम करते हैं। तो यह संभव है, भले ही आपको कॉन्फ़िगरेशन या लेखांकन की आवश्यकता न हो। सिस्को उपकरणों पर जीआरई सुरंगों के साथ मेरे परिचित होने से मुझे शुद्ध सुरंग मोड IPSec की तुलना में उन्हें लागू करने में आसानी होती है। और मैं एक प्राचीन लिनक्स सर्वर पर एक ओपनवीपीएन या एसएसएच-आधारित सुरंग बना सकता हूं जिसे मैं (किसी कारण या अन्य के लिए) अपग्रेड नहीं कर सकता।


0
  • IPsec सुरंग बनाम परिवहन मोड
    • टनल मोड में ओवरहेड अधिक है
    • परिवहन मोड केवल मेजबानों के बीच काम करता है, क्योंकि रैपिंग में आईपी पते का एक अतिरिक्त सेट नहीं होता है
  • ओवरहेड एक समस्या है?
    • एक ऐसे समय की कल्पना करें जहां मेजबान किसी भी संचार से पहले एक दूसरे के बीच एक IPsec एसोसिएशन स्थापित करते हैं ** IPsec हर जगह होगा ** सुरंग मोड में आईपी पते प्रत्येक पैकेट में दो बार होंगे → संसाधनों की बर्बादी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.