IPsec ist eine auf IP aufbauende Protokollsuite. Ursprünglich mit IPv6 entwickelt, ist es auch in IPv4 verfügbar.
IPsec ermöglicht verschlüsselte Kommunikation zwischen Hosts auf IP-Ebene (das heißt, höhere Schichten wie TCP, HTTP, HTTPS oder SSL müssen sich seiner Existenz nicht bewusst sein).
Das klingt ja gut. Ich möchte, dass mein HTTP-Verkehrsuperuser.com(oder mein UDP-Torrent-Verkehr) soll verschlüsselt werden. Wie erreiche ich das?
Seit über einem Jahrzehnt unterstützt Windows IPsec, aber ichdenkenMein gesamter Internetverkehr (also alles, was das Internetprotokoll verwendet) ist verschlüsselt. Wie kann ich das verhindern?
Zu IPsec können Sie zahllose technische Details nachlesen:
- Authentifizierungsheader
- Kapselung von Sicherheitsnutzlasten
- Sicherheitsverbände
- Transportmodus/Tunnelmodus
aber ich finde immer noch keine Informationen zur Verwendung.
MindestensVPNmacht Sinn. Man muss einenVPN-Clientund verwenden Sie es zum Herstellen einer Verbindung mit einemVPN-Server:
Aber das erfordert eineVPN-Serveram anderen Ende. In diesem Beispiel würde es nicht funktionieren, da superuser.comkein VPN läuftServerlauscht auf Port 1723. Aber IPsec erfordert keinen"Server"; IPsec isteingebautIP und ist völlig transparent.
Wie kann ich also alle meine IP-Verbindungen verschlüsseln? Wie kann ichverwendenIPsec?
Je mehr ich über „Internet Protocol Security“ (IPsec) lese, desto mehr scheint es mir, dass man es nicht über das „Internet“ verwenden kann – nur über lokale Netzwerke.
Antwort1
IPSec basiert auf IPv4 und ist in IPv6 integriert. Das heißt jedoch nicht, dass Sie IPSec einfach „einschalten“ könnten, wenn jede Site, mit der Sie kommunizieren, über IPv6 läuft.
Um den Datenverkehr zwischen zwei Punkten zu verschlüsseln, müssen beide Endpunkte an der Verschlüsselung teilnehmen. Also ja, superuser.com betreibt keinen IPSec-VPN-Endpunkt und Sie können daher keinen IPSec-VPN-Client damit verbinden. Würde es IPv6 betreiben, müssten Sie dennoch einen Schlüsselaustausch durchführen, um die Authentizität der beiden Parteien zu überprüfen und den Verschlüsselungsschlüssel und die Methoden festzulegen.
Bis das passiert, haben Sie keine Möglichkeit, Ihre Daten in einem IPSec-VPN Ende-zu-Ende zu verschlüsseln, wenn Sie mit superuser.com oder einer anderen Website kommunizieren. Websites, die verschlüsselte Sitzungen anbieten, tun dies im Allgemeinen mit SSL.
Wenn IPSec Ihre bevorzugte Methode ist, können Sie am besten einen VPN-Dienstanbieter finden, der sich „in der Nähe“ der Site befindet, mit der Sie sicher kommunizieren möchten. „In der Nähe“ bedeutet, dass zwischen dem VPN-Gateway, mit dem Sie sich verbinden, und der Site, auf die Sie zugreifen möchten, nur wenige Hops liegen. Das bedeutet, dass der unverschlüsselte Datenverkehr eine kürzere Distanz im Internet zurücklegt.
IPSec auf IPv4 hat in seiner nativen Form zwar Probleme mit NAT, es gibt jedoch viele Standarderweiterungen zum Protokoll, die es ermöglichen, NAT zu durchqueren. Am gebräuchlichsten und fast überall implementiert ist NAT-D, das UDP/4500 als Transportmittel verwendet und nicht direkt ESP.