IPsec é um conjunto de protocolos construído sobre IP. Originalmente projetado com IPv6, também existe em IPv4.
O IPsec permite comunicações criptografadas entre hosts no nível IP (ou seja, camadas superiores como TCP, ou HTTP, ou HTTPS, SSL não precisam estar cientes de sua existência).
Bem, isso parece bom. quero que meu tráfego http sejasuperusuário.com(ou meu tráfego de torrent UDP) seja criptografado. Como faço para que isso aconteça?
Por mais de uma década, o Windows oferece suporte a IPsec, mas eu nãopensartodo o meu tráfego de Internet (ou seja, qualquer coisa que use o protocolo da Internet) é criptografado. Como faço para que isso aconteça?
Você pode ler uma infinidade de detalhes técnicos sobre IPsec:
- Cabeçalhos de autenticação
- Encapsulando cargas úteis de segurança
- Associações de Segurança
- Modo de transporte/modo túnel
mas ainda não encontrei nenhuma informação sobre como usá-lo.
Pelo menosVPNfaz sentido. Você tem que encontrar umCliente VPNe use-o para conectar-se a umServidor VPN:
Mas isso requer umservidor VPNNa outra extremidade. Neste exemplo não funcionaria porque superuser.comnão está executando uma VPNservidorouvindo na porta 1723. Mas o IPsec não requer um"servidor"; IPsec éincorporadoIP e é totalmente transparente.
Então, como faço para criptografar todas as minhas conexões IP? Como é que euusarIPsec?
Quanto mais leio sobre "Segurança de protocolo de Internet" (IPsec), mais parece que você não pode usá-lo pela "Internet" - apenas por redes locais.
Responder1
O IPSec é construído sobre o IPv4 e integrado no IPv6. No entanto, isso não significa que se todos os sites com os quais você estivesse conversando tivessem IPv6, você seria capaz de simplesmente "ativar" o IPSec.
Para criptografar o tráfego entre dois pontos, ambos os terminais devem participar da criptografia. Então, sim, superuser.com não está executando um endpoint VPN IPSec e, portanto, você não pode conectar um cliente VPN IPSec a ele. Se estivesse executando IPv6, você ainda precisaria realizar uma troca de chaves para verificar a autenticidade das duas partes e estabelecer a chave e os métodos de criptografia.
Até que isso aconteça, você não terá como criptografar seus dados de ponta a ponta em uma VPN IPSec ao se comunicar com superuser.com ou qualquer outro site. Os sites que fornecem sessões criptografadas geralmente o fazem com SSL.
O melhor que você pode fazer se o IPSec for seu método preferido é identificar um provedor de serviços VPN que esteja “próximo” do site com o qual você deseja se comunicar com segurança. Próximo em termos de uma pequena quantidade de saltos do gateway VPN ao qual você se conecta e do site que deseja acessar. Isso significa que o tráfego não criptografado percorrerá uma distância menor na Internet.
O IPSec no IPv4 tem dificuldades com o NAT em sua forma nativa, porém há muitas adições padrão ao protocolo que permitem que ele atravesse o NAT. O mais comum, e quase universalmente implementado, é o NAT-D, usando UDP/4500 como transporte, em vez de ESP diretamente.