ipv6 到底是不是加密的?

2019-05-09 23:00:56 +08:00
 brMu
ipv6 的加密是通过 ipsec 实现的吗?默认状态是开启还是关闭呢?
ipsec 是在系统层实现的吗? linux 上如何开启和查看状态呢?
ipv6 的加密对硬件性能有要求吗?对系统性能的影响有多大呢?
ipv6 加密的安全性如何?加密后是不是就对中间人攻击和监听都免疫了?
6764 次点击
所在节点    宽带症候群
15 条回复
ruandao
2019-05-09 23:06:49 +08:00
ipv6 不是个地址扩充吗? 6 字节的 ip 地址
shansing
2019-05-09 23:09:51 +08:00
印象中最初的 IPv6 标准议案是有 ipsec 的,但由于现实原因变为非强制了。
Tianao
2019-05-09 23:25:22 +08:00
挑几个答:

ipv6 的加密是通过 ipsec 实现的吗?
在 IP 层是的。

默认状态是开启还是关闭呢?
关闭的,以前的 RFC 规定是默认开启的,后来改掉了。

ipsec 是在系统层实现的吗?
不是在操作系统内核实现的,但大多数操作系统都提供系统级支持。

ipv6 的加密对硬件性能有要求吗?
取决于加密( AES、3DES 等)和完整性( MD5、SHA 等)算法,与 IPv6 或 IPsec 本身无关。

对系统性能的影响有多大呢?
取决于是否有硬件加速( offloading ),有就不大,比如一些采用 MIPS、ARM 架构的专门为 VPN 设计的硬件路由器、防火墙、多业务网关,虽然 CPU 参数不高,但开启 IPsec 后对性能影响很小;反观一些凌动、赛扬的软路由,如果无法成功调用硬件加速,IPsec 性能就惨不忍睹。

ipv6 加密的安全性如何?
同上,取决于加密算法和完整性算法,此外还取决于认证算法。

加密后是不是就对中间人攻击和监听都免疫了?
加密只能防旁路监听,防中间人和重放攻击要靠认证( PSK、Kerberos、证书等)和完整性保护(哈希校验等)。
nfroot
2019-05-09 23:49:53 +08:00
ipsec 应该是要吃性能的……为了性能还是不加密吧。。

虽然现在的光猫都开始搞硬件加密了。。。
qwerthhusn
2019-05-09 23:58:40 +08:00
@Tianao 有了 ipsec,还有必要在第七层开 tls 吗?
zwy100e72
2019-05-10 00:43:27 +08:00
@qwerthhusn 有必要,安全就是要多层,攻破其中一层还有别的防御在

再有,你的 ip 消息总是会离开 ipsec 的,从出口出去后也需要加密
brMu
2019-05-10 08:31:18 +08:00
@Tianao 感谢大佬的回复,再请教几个问题:
默认开启不是挺好吗?出于什么考虑给取消掉了呢?
ipset 开启后,对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢?
ghostheaven
2019-05-10 08:32:56 +08:00
请问下端到端的 ip 协议的加密连接怎么建立呢 @Tianao
bao3
2019-05-10 08:36:30 +08:00
@brMu #7 你想想你家的电视空调这些低端设备,ipsec 全吃 cpu,它们怎么加密
cwbsw
2019-05-10 09:40:57 +08:00
@Tianao IPSec 在 Linux 上就是内核实现的,不然为什么性能吊打 OpenVPN 之流。
julyclyde
2019-05-10 14:06:27 +08:00
@qwerthhusn tls 在四层
Tianao
2019-05-10 14:53:44 +08:00
@qwerthhusn
有必要,简单来讲,永远不要信任自己用户其他服务的提供商。IP 层提供是主机到主机的通信,因此 IPsec 提供的是主机到主机的安全,而 TLS 可以提供端口到端口的安全,因此 TLS 提供的管道末端比 IPsec 更靠近最终应用。通常情况下,端口到端口既应用到应用。


@brMu
默认开启不是挺好吗?出于什么考虑给取消掉了呢?
如 #9 所说,有在物联网设备等嵌入式设备上性能、成本和复杂性方面的考量,但更多的是因为公钥基础设施(证书体系)的不完善。我个人同时认为,主机到主机的安全隧道既不能替代高层安全方法,也不是为不受保护的高层流量提供透明安全的理想且优雅的选择。

ipset 开启后,对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢?
是的,所以历史包袱很重,你看现在大多运营商门户虽然支持了 IPv6 却没有支持 HTTPS。


@cwbsw 查了一下确实是这样,从 2.6 版本开始 Linux 内核已经实现了 IPsec。
qwerthhusn
2019-05-10 14:54:04 +08:00
@julyclyde 你说的是 TCP/IP 四层模型的话,在第四层吧???反正不管是四层五层七层,这个应该在倒数第二层
qwvy2g
2019-05-10 14:59:52 +08:00
有没有什么办法在两个 ipv6 主机重新打开这个功能?比如从路由到虚拟服务器?
cwek
2019-05-10 19:58:42 +08:00
@qwvy2g 可以啊,安装 strongswan。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/562679

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX