Modo de tunelamento IPSec vs modo de transporte vs transporte + L2TP

Question 1

Por que o transporte IPSec ainda existe se quase sempre pode ser alterado para tunelamento e vice-versa?

Não vejo o modo de transporte IPSec usado pela população geral de usuários de dispositivos em rede atualmente. Acho que nunca ganhou impulso suficiente para ser implantado universalmente. Os fornecedores de software e rede tinham motivação para vender implementações do modo Túnel (além de back-ends extensos) para clientes corporativos com necessidade de acesso remoto, mas não empurraram o modo Transporte para ninguém. As capacidades podem ter existido, mas a facilidade de uso ainda deixa muito a desejar.

Então existe, mas ainda é relevante? Historicamente, o modo de transporte não era acessível a um grande número de usuários. Uma exceção foi o pessoal do software livre.

Histórico e status de implementação da criptografia oportunista para IPsec

O link acima descreve o esforço histórico para colocar o IPSec em uso em todos os lugares e como esses esforços foram frustrados. As razões podem ser resumidas como a insegurança da infra-estrutura da Internet (ou seja, DNS) e a relativa complacência dos envolvidos em alterá-la.

por que todas essas abordagens existem e se duplicam?

Todas estas abordagens existem principalmente devido à identificação independente e à solução das variações da necessidade de acesso remoto seguro, aproximadamente no mesmo período de tempo. Uma versão ligeiramente melhorada da sua pergunta pode ser "por que todas essas abordagens ainda estão em uso?"

Você respondeu à sua própria pergunta sobre por que o L2TP ainda está em uso: contabilidade e configuração. (pode ser mais interessante ver por que outros protocolos, como o PPTP, não estão mais em uso.) Em muitos casos, mesmo que você não se importe com contabilidade e configuração,

Em outros casos, a resposta não é tão clara. Veja o caso gateway a gateway. Você pode usar o modo Túnel puro IPSec ou usar túneis GRE sobre IPSec (na verdade, acredito que eles estejam no modo Transporte IPSec). Não sei se há alguma vantagem de uma forma ou de outra além da familiaridade. Pessoalmente, nunca configurei o modo Túnel IPSec em um roteador Cisco. Sempre fiz GRE criptografado. Por que? Porque tudo o que sei sobre GRE simples se aplica ao GRE criptografado. Então é familiar para mim.

Não se esqueça de VPNs/túneis em nível de aplicativo, como OpenVPN ou Secure Shell. Geralmente, eles têm desempenho inferior do que as implementações em nível de kernel ou de dispositivo. Mas eles eram (e são) geralmente mais fáceis de usar e tinham a vantagem de passar mais facilmente por proxies e firewalls (pelo menos até o advento da inspeção profunda de conteúdo). Além disso, muitas vezes têm menos dependências; é muito mais fácil compilar o OpenVPN em um servidor Linux antigo do que recompilar o kernel para suportar IPSec.

Você poderia me dar um exemplo de situação em que um desses métodos é "o único correto a ser usado"?

Em redes (como em muitas coisas na computação), você nunca verá "o único caminho certo para usar". Na maioria dos casos, você fica preso ao que é viável. Por exemplo, todos os dispositivos Android funcionam com VPNs baseadas em L2TP. Então isso é viável, mesmo que você não precise de configuração ou contabilidade. A familiaridade que tenho com túneis GRE em dispositivos Cisco torna-os mais fáceis de implementar do que o IPSec em modo túnel puro. E posso criar um OpenVPN ou um túnel baseado em SSH em um servidor Linux antigo que não consigo atualizar (por um motivo ou outro).

Answer

Por que o transporte IPSec ainda existe se quase sempre pode ser alterado para tunelamento e vice-versa?

Não vejo o modo de transporte IPSec usado pela população geral de usuários de dispositivos em rede atualmente. Acho que nunca ganhou impulso suficiente para ser implantado universalmente. Os fornecedores de software e rede tinham motivação para vender implementações do modo Túnel (além de back-ends extensos) para clientes corporativos com necessidade de acesso remoto, mas não empurraram o modo Transporte para ninguém. As capacidades podem ter existido, mas a facilidade de uso ainda deixa muito a desejar.

Então existe, mas ainda é relevante? Historicamente, o modo de transporte não era acessível a um grande número de usuários. Uma exceção foi o pessoal do software livre.

Histórico e status de implementação da criptografia oportunista para IPsec

O link acima descreve o esforço histórico para colocar o IPSec em uso em todos os lugares e como esses esforços foram frustrados. As razões podem ser resumidas como a insegurança da infra-estrutura da Internet (ou seja, DNS) e a relativa complacência dos envolvidos em alterá-la.

por que todas essas abordagens existem e se duplicam?

Todas estas abordagens existem principalmente devido à identificação independente e à solução das variações da necessidade de acesso remoto seguro, aproximadamente no mesmo período de tempo. Uma versão ligeiramente melhorada da sua pergunta pode ser "por que todas essas abordagens ainda estão em uso?"

Você respondeu à sua própria pergunta sobre por que o L2TP ainda está em uso: contabilidade e configuração. (pode ser mais interessante ver por que outros protocolos, como o PPTP, não estão mais em uso.) Em muitos casos, mesmo que você não se importe com contabilidade e configuração,

Em outros casos, a resposta não é tão clara. Veja o caso gateway a gateway. Você pode usar o modo Túnel puro IPSec ou usar túneis GRE sobre IPSec (na verdade, acredito que eles estejam no modo Transporte IPSec). Não sei se há alguma vantagem de uma forma ou de outra além da familiaridade. Pessoalmente, nunca configurei o modo Túnel IPSec em um roteador Cisco. Sempre fiz GRE criptografado. Por que? Porque tudo o que sei sobre GRE simples se aplica ao GRE criptografado. Então é familiar para mim.

Não se esqueça de VPNs/túneis em nível de aplicativo, como OpenVPN ou Secure Shell. Geralmente, eles têm desempenho inferior do que as implementações em nível de kernel ou de dispositivo. Mas eles eram (e são) geralmente mais fáceis de usar e tinham a vantagem de passar mais facilmente por proxies e firewalls (pelo menos até o advento da inspeção profunda de conteúdo). Além disso, muitas vezes têm menos dependências; é muito mais fácil compilar o OpenVPN em um servidor Linux antigo do que recompilar o kernel para suportar IPSec.

Você poderia me dar um exemplo de situação em que um desses métodos é "o único correto a ser usado"?

Em redes (como em muitas coisas na computação), você nunca verá "o único caminho certo para usar". Na maioria dos casos, você fica preso ao que é viável. Por exemplo, todos os dispositivos Android funcionam com VPNs baseadas em L2TP. Então isso é viável, mesmo que você não precise de configuração ou contabilidade. A familiaridade que tenho com túneis GRE em dispositivos Cisco torna-os mais fáceis de implementar do que o IPSec em modo túnel puro. E posso criar um OpenVPN ou um túnel baseado em SSH em um servidor Linux antigo que não consigo atualizar (por um motivo ou outro).

Question 2

Túnel IPsec vs. modo de transporte
- o modo túnel tem mais sobrecarga
- o modo de transporte funciona apenas entre hosts, porque o empacotamento não contém um conjunto extra de endereços IP
a sobrecarga é um problema?
- imagine uma época em que os hosts estabeleçam uma associação IPsec entre si antes de qualquer comunicação ** O IPsec estaria em todos os lugares ** no modo túnel os endereços IP estariam duas vezes em cada pacote → desperdício de recursos

Answer

Túnel IPsec vs. modo de transporte
- o modo túnel tem mais sobrecarga
- o modo de transporte funciona apenas entre hosts, porque o empacotamento não contém um conjunto extra de endereços IP
a sobrecarga é um problema?
- imagine uma época em que os hosts estabeleçam uma associação IPsec entre si antes de qualquer comunicação ** O IPsec estaria em todos os lugares ** no modo túnel os endereços IP estariam duas vezes em cada pacote → desperdício de recursos

Modo de tunelamento IPSec vs modo de transporte vs transporte + L2TP

Responder1

Responder2

informação relacionada