IPsec es un conjunto de protocolos construido sobre IP. Diseñado originalmente con IPv6, también existe en IPv4.
IPsec permite comunicaciones cifradas entre hosts a nivel de IP (es decir, las capas superiores como TCP, HTTP, HTTPS o SSL no tienen que ser conscientes de su existencia).
Bueno, eso suena bien. quiero que mi tráfico httpsuperusuario.com(o mi tráfico de torrent UDP) para ser cifrado. ¿Cómo hago para que esto suceda?
Durante más de una década Windows ha soportado IPsec, pero yo nopensarTodo mi tráfico de Internet (es decir, cualquier cosa que utilice el Protocolo de Internet) está cifrado. ¿Cómo lo hago?
Puede leer cantidades infinitas de detalles técnicos sobre IPsec:
- Encabezados de autenticación
- Encapsulando cargas útiles de seguridad
- Asociaciones de seguridad
- Modo transporte/modo túnel
pero todavía no encuentro ninguna información sobre cómo usarlo.
Al menosvpntiene sentido. Tienes que encontrar unCliente VPNy utilícelo para conectarse a unServidor VPN:
Pero eso requiere unservidor vpnen el otro extremo. En este ejemplo no funcionaría porque superuser.comno se está ejecutando una VPN.servidorescuchando en el puerto 1723. Pero IPsec no requiere un"servidor"; IPsec esIncorporadoIP, y es completamente transparente.
Entonces, ¿cómo puedo cifrar todas mis conexiones IP? Cómo puedousar¿IPsec?
Cuanto más leo sobre la "seguridad del protocolo de Internet" (IPsec), más me parece que no se puede utilizar a través de "Internet", sólo a través de redes de área local.
Respuesta1
IPSec está construido sobre IPv4 e integrado en IPv6. Sin embargo, esto no significa que si todos los sitios con los que estuviera hablando tuvieran IPv6, podría simplemente "activar" IPSec.
Para cifrar el tráfico entre dos puntos, ambos puntos finales deben participar en el cifrado. Entonces, sí, superuser.com no ejecuta un punto final VPN IPSec y, por lo tanto, no puede conectarle un cliente VPN IPSec. Si estuviera ejecutando IPv6, aún necesitaría realizar un intercambio de claves para verificar la autenticidad de las dos partes y establecer la clave y los métodos de cifrado.
Hasta que eso suceda, no tendrá forma de cifrar sus datos de extremo a extremo en una VPN IPSec cuando se comunique con superuser.com o cualquier otro sitio web. Los sitios web que proporcionan sesiones cifradas generalmente lo hacen con SSL.
Lo mejor que puede hacer si IPSec es su método preferido es identificar un proveedor de servicios VPN que esté "cerca" del sitio con el que desea comunicarse de forma segura. Cerca en términos de una pequeña cantidad de saltos desde la puerta de enlace VPN a la que se conecta y el sitio al que desea acceder. Esto significa que el tráfico no cifrado recorrerá una distancia más corta en Internet.
IPSec en IPv4 tiene dificultades con NAT en su forma nativa, sin embargo, hay muchas adiciones estándar al protocolo que le permiten atravesar NAT. El más común, y casi universalmente implementado, es NAT-D, que utiliza UDP/4500 como transporte en lugar de ESP directamente.