IPsec — это набор протоколов, построенный поверх IP. Первоначально разработанный для IPv6, он также существует в IPv4.
IPsec обеспечивает зашифрованную связь между хостами на уровне IP (то есть верхние уровни, такие как TCP, HTTP или HTTPS, SSL не должны знать о его существовании).
Ну, это звучит хорошо. Я хочу, чтобы мой http-трафиксуперпользователь.com(или мой UDP torrent-трафик) для шифрования. Как мне это сделать?
Уже более десяти лет Windows поддерживает IPsec, но я недуматьВесь мой интернет-трафик (т.е. все, что использует интернет-протокол) зашифрован. Как мне это сделать?
Вы можете прочитать бесконечное количество технических подробностей о IPsec:
- Заголовки аутентификации
- Инкапсуляция полезных нагрузок безопасности
- Ассоциации по безопасности
- Транспортный режим/Туннельный режим
но до сих пор не нашел никакой информации о том, как им пользоваться.
По меньшей мереVPNимеет смысл. Вам нужно найтиVPN-клиент, и использовать его для подключения кVPN-сервер:
Но для этого требуетсяvpn-серверна другом конце. В этом примере это не сработает, потому что superuser.comне запущен vpnсерверпрослушивание порта 1723. Но IPsec не требует"сервер"; IPsec — этовстроенныйIP и полностью прозрачен.
Так как же мне сделать все мои IP-соединения зашифрованными?использоватьIPsec?
Чем больше я читаю о «безопасности интернет-протокола» (IPsec), тем больше мне кажется, что ее нельзя использовать в «Интернете» — только в локальных сетях.
решение1
IPSec построен поверх IPv4 и встроен в IPv6. Однако это не означает, что если бы каждый сайт, с которым вы общались, был через IPv6, вы бы могли просто «включить» IPSec.
Чтобы зашифровать трафик между двумя точками, обе конечные точки должны участвовать в шифровании. Так что да, superuser.com не использует конечную точку IPSec VPN, и поэтому вы не можете подключить к нему клиент IPSec VPN. Если бы он использовал IPv6, вам все равно пришлось бы выполнить обмен ключами для проверки подлинности двух сторон и установить ключ и методы шифрования.
Пока этого не произойдет, у вас нет возможности шифровать данные от начала до конца в IPSec VPN при общении с superuser.com или любым другим веб-сайтом. Веб-сайты, которые предоставляют зашифрованные сеансы, обычно делают это с помощью SSL.
Лучшее, что вы можете сделать, если IPSec является вашим предпочтительным методом, — это определить поставщика услуг VPN, который находится «рядом» с сайтом, с которым вы хотите безопасно взаимодействовать. Рядом в смысле короткого количества переходов от шлюза VPN, к которому вы подключаетесь, до сайта, к которому вы хотите получить доступ. Это означает, что незашифрованный трафик будет проходить более короткое расстояние в Интернете.
IPSec на IPv4 имеет трудности с NAT в своей родной форме, однако есть много стандартных дополнений к протоколу, которые позволяют ему проходить через NAT. Наиболее распространенным и практически повсеместно реализованным является NAT-D, использующий UDP/4500 в качестве транспорта, а не ESP напрямую.