क्यों IPSec परिवहन अभी भी मौजूद है अगर लगभग हमेशा इसे टनलिंग में बदला जा सकता है और इसके विपरीत?
मुझे आज नेटवर्क डिवाइस उपयोगकर्ता की सामान्य आबादी में उपयोग किया जाने वाला ट्रांसपोर्ट मोड IPSec नहीं दिखता है। मुझे लगता है कि यह सार्वभौमिक रूप से तैनात होने के लिए पर्याप्त गति का निर्माण कभी नहीं हुआ। सॉफ्टवेयर और नेटवर्क विक्रेताओं के पास रिमोट एक्सेस की जरूरत वाले एंटरप्राइज ग्राहकों को टनल मोड इंप्लीमेंटेशन (प्लस वाइड बैकेंड) बेचने के लिए प्रेरणा थी, लेकिन किसी को भी ट्रांसपोर्ट मोड नहीं दिया। क्षमताओं का अस्तित्व हो सकता है, लेकिन उपयोग में आसानी अभी भी वांछित होने के लिए बहुत कुछ छोड़ देती है।
तो यह मौजूद है, लेकिन क्या यह अभी भी प्रासंगिक है? परिवहन मोड ऐतिहासिक रूप से बड़ी संख्या में उपयोगकर्ताओं के लिए सुलभ नहीं था। एक अपवाद मुफ्त सॉफ्टवेयर लोग थे।
IPsec के लिए अवसरवादी एन्क्रिप्शन का इतिहास और कार्यान्वयन की स्थिति
उपरोक्त लिंक में IPSec को हर जगह उपयोग में लाने के ऐतिहासिक प्रयास का वर्णन किया गया है, और उन प्रयासों को किस तरह से परिभाषित किया गया है। कारणों को इंटरनेट इन्फ्रास्ट्रक्चर (यानी DNS) की असुरक्षा के रूप में संक्षेपित किया जा सकता है, और इसे बदलने के लिए इसमें शामिल लोगों की रिश्तेदार शालीनता।
ये सभी दृष्टिकोण मौजूद क्यों हैं और एक दूसरे की नकल करते हैं?
ये सभी दृष्टिकोण मुख्य रूप से लगभग समान अवधि में, सुरक्षित रिमोट एक्सेस की आवश्यकता की विविधताओं की स्वतंत्र पहचान और समाधान के कारण मौजूद हैं। आपके प्रश्न का थोड़ा सुधरा हुआ संस्करण हो सकता है "ये सभी दृष्टिकोण अभी भी उपयोग में क्यों हैं?"
आपने अपने स्वयं के प्रश्न का उत्तर दिया है कि क्यों L2TP अभी भी उपयोग में है: लेखांकन और कॉन्फ़िगरेशन। (यह देखने के लिए अधिक दिलचस्प हो सकता है कि अन्य प्रोटोकॉल, जैसे कि PPTP, अब उपयोग में नहीं हैं।) कई मामलों में, भले ही आप लेखांकन और कॉन्फ़िगरेशन की परवाह न करें,
अन्य मामलों में उत्तर उतना स्पष्ट नहीं है। गेटवे-टू-गेटवे मामले को लें। आप शुद्ध टनल मोड IPSec का उपयोग कर सकते हैं, या IPSec पर GRE सुरंगों का उपयोग कर सकते हैं (वास्तव में, मेरा मानना है कि वे ट्रांसपोर्ट मोड IPSec से अधिक हैं)। मुझे नहीं पता कि परिचित के अलावा कोई एक तरीका या दूसरा फायदा है। व्यक्तिगत रूप से, मैंने कभी भी सिस्को राउटर पर टनल मोड IPSec स्थापित नहीं किया है। मैंने हमेशा जीआरई एन्क्रिप्टेड किया है। क्यों? क्योंकि मुझे सादे जीआरई के बारे में जो कुछ भी पता है वह एन्क्रिप्टेड जीआरई पर लागू होता है। इसलिए यह मेरे लिए परिचित है।
एप्लिकेशन स्तर के वीपीएन / सुरंगों को न भूलें, जैसे कि ओपनवीपीएन या सिक्योर शेल। इनमें आमतौर पर कर्नेल- या उपकरण-स्तरीय कार्यान्वयन की तुलना में खराब प्रदर्शन होता है। लेकिन वे (और) आम तौर पर उपयोग करने में आसान होते हैं और उन्हें अधिक आसानी से प्रॉक्सी और फायरवॉल के माध्यम से प्राप्त करने का लाभ होता था (कम से कम गहरे सामग्री निरीक्षण के आगमन तक)। इसके अलावा, उनके पास अक्सर कम निर्भरता होती है; IPSec का समर्थन करने के लिए कर्नेल को फिर से शुरू करने की तुलना में एक पुराने लिनक्स सर्वर पर OpenVPN संकलित करना बहुत आसान है।
क्या आप मुझे उस स्थिति का उदाहरण दे सकते हैं जब इन विधियों में से एक "उपयोग करने के लिए एकमात्र सही" है?
नेटवर्किंग में (कंप्यूटिंग में इतना अधिक साथ), आप कभी भी "केवल एक ही सही उपयोग करने के लिए" नहीं देखेंगे। ज्यादातर मामलों में, आप जो संभव है, उसमें फंस जाते हैं। उदाहरण के लिए, सभी एंड्रॉइड डिवाइस L2TP- आधारित वीपीएन के साथ काम करते हैं। तो यह संभव है, भले ही आपको कॉन्फ़िगरेशन या लेखांकन की आवश्यकता न हो। सिस्को उपकरणों पर जीआरई सुरंगों के साथ मेरे परिचित होने से मुझे शुद्ध सुरंग मोड IPSec की तुलना में उन्हें लागू करने में आसानी होती है। और मैं एक प्राचीन लिनक्स सर्वर पर एक ओपनवीपीएन या एसएसएच-आधारित सुरंग बना सकता हूं जिसे मैं (किसी कारण या अन्य के लिए) अपग्रेड नहीं कर सकता।