IPsec は、IP 上に構築されたプロトコル スイートです。元々は IPv6 用に設計されましたが、IPv4 にも存在します。
IPsec は、IP レベルでホスト間の暗号化された通信を可能にします (つまり、TCP、HTTP、HTTPS、SSL などの上位層は、その存在を認識する必要がありません)。
それはいいですね。HTTPトラフィックをスーパーユーザー(または私の UDP トレント トラフィック) を暗号化します。どうすれば実現できますか?
Windowsは10年以上IPsecをサポートしてきましたが、考えるすべてのインターネット トラフィック (インターネット プロトコルを使用するもの) は暗号化されています。どうすれば暗号化できますか?
IPsec に関する技術的な詳細は、無数に読むことができます。
- 認証ヘッダー
- セキュリティペイロードのカプセル化
- セキュリティ協会
- トランスポートモード/トンネルモード
しかし、それをどのように使用するかについての情報がまだ見つかりません。
少なくとも仮想プライベートネットワーク理にかなっています。VPNクライアント、それを使用して接続しますVPNサーバー:
しかし、そのためにはVPN サーバーこの例ではsuperuser.comVPNが動作していないため動作しませんサーバポート でリッスンしてい1723ます。ただし、IPsec では"サーバ"; IPsecは組み込まれているIPであり、完全に透過的です。
では、すべてのIP接続を暗号化するにはどうすればいいでしょうか?使用IPsec?
「インターネット プロトコル セキュリティ」(IPsec) について調べれば調べるほど、IPsec は「インターネット」では使用できず、ローカル エリア ネットワークでのみ使用できるように思えます。
答え1
IPSec は IPv4 上に構築され、IPv6 に組み込まれています。ただし、これは、通信するすべてのサイトが IPv6 経由である場合に、IPSec を単に「オン」にできることを意味するものではありません。
2 地点間のトラフィックを暗号化するには、両方のエンドポイントが暗号化に参加する必要があります。したがって、superuser.com は IPSec VPN エンドポイントを実行していないため、IPSec VPN クライアントを接続できません。IPv6 を実行している場合は、2 つの当事者の信頼性を検証し、暗号化キーと方法を確立するために、キー交換を実行する必要があります。
それが実現するまでは、superuser.com や他の Web サイトと通信するときに、IPSec VPN でデータをエンドツーエンドで暗号化する方法はありません。暗号化されたセッションを提供する Web サイトは、通常、SSL を使用してこれを行います。
IPSec が優先方法である場合、最も効果的な方法は、安全に通信したいサイトに「近い」 VPN サービス プロバイダーを特定することです。近いというのは、接続する VPN ゲートウェイとアクセスしたいサイトとの間のホップ数が短いという意味です。つまり、暗号化されていないトラフィックがインターネット上で通過する距離が短くなるということです。
IPv4 上の IPSec は、ネイティブ形式の NAT では問題がありますが、プロトコルには NAT を通過できるようにする標準の追加機能が多数あります。最も一般的で、ほぼ普遍的に実装されているのは、ESP を直接使用するのではなく、UDP/4500 をトランスポートとして使用する NAT-D です。