V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
brMu
V2EX  ›  宽带症候群

ipv6 到底是不是加密的?

  •  
  •   brMu · 2019-05-09 23:00:56 +08:00 via Android · 6732 次点击
    这是一个创建于 2030 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ipv6 的加密是通过 ipsec 实现的吗?默认状态是开启还是关闭呢?
    ipsec 是在系统层实现的吗? linux 上如何开启和查看状态呢?
    ipv6 的加密对硬件性能有要求吗?对系统性能的影响有多大呢?
    ipv6 加密的安全性如何?加密后是不是就对中间人攻击和监听都免疫了?
    15 条回复    2019-05-10 19:58:42 +08:00
    ruandao
        1
    ruandao  
       2019-05-09 23:06:49 +08:00
    ipv6 不是个地址扩充吗? 6 字节的 ip 地址
    shansing
        2
    shansing  
       2019-05-09 23:09:51 +08:00
    印象中最初的 IPv6 标准议案是有 ipsec 的,但由于现实原因变为非强制了。
    Tianao
        3
    Tianao  
       2019-05-09 23:25:22 +08:00   ❤️ 7
    挑几个答:

    ipv6 的加密是通过 ipsec 实现的吗?
    在 IP 层是的。

    默认状态是开启还是关闭呢?
    关闭的,以前的 RFC 规定是默认开启的,后来改掉了。

    ipsec 是在系统层实现的吗?
    不是在操作系统内核实现的,但大多数操作系统都提供系统级支持。

    ipv6 的加密对硬件性能有要求吗?
    取决于加密( AES、3DES 等)和完整性( MD5、SHA 等)算法,与 IPv6 或 IPsec 本身无关。

    对系统性能的影响有多大呢?
    取决于是否有硬件加速( offloading ),有就不大,比如一些采用 MIPS、ARM 架构的专门为 VPN 设计的硬件路由器、防火墙、多业务网关,虽然 CPU 参数不高,但开启 IPsec 后对性能影响很小;反观一些凌动、赛扬的软路由,如果无法成功调用硬件加速,IPsec 性能就惨不忍睹。

    ipv6 加密的安全性如何?
    同上,取决于加密算法和完整性算法,此外还取决于认证算法。

    加密后是不是就对中间人攻击和监听都免疫了?
    加密只能防旁路监听,防中间人和重放攻击要靠认证( PSK、Kerberos、证书等)和完整性保护(哈希校验等)。
    nfroot
        4
    nfroot  
       2019-05-09 23:49:53 +08:00
    ipsec 应该是要吃性能的……为了性能还是不加密吧。。

    虽然现在的光猫都开始搞硬件加密了。。。
    qwerthhusn
        5
    qwerthhusn  
       2019-05-09 23:58:40 +08:00 via iPhone
    @Tianao 有了 ipsec,还有必要在第七层开 tls 吗?
    zwy100e72
        6
    zwy100e72  
       2019-05-10 00:43:27 +08:00
    @qwerthhusn 有必要,安全就是要多层,攻破其中一层还有别的防御在

    再有,你的 ip 消息总是会离开 ipsec 的,从出口出去后也需要加密
    brMu
        7
    brMu  
    OP
       2019-05-10 08:31:18 +08:00
    @Tianao 感谢大佬的回复,再请教几个问题:
    默认开启不是挺好吗?出于什么考虑给取消掉了呢?
    ipset 开启后,对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢?
    ghostheaven
        8
    ghostheaven  
       2019-05-10 08:32:56 +08:00 via Android
    请问下端到端的 ip 协议的加密连接怎么建立呢 @Tianao
    bao3
        9
    bao3  
       2019-05-10 08:36:30 +08:00 via iPhone   ❤️ 1
    @brMu #7 你想想你家的电视空调这些低端设备,ipsec 全吃 cpu,它们怎么加密
    cwbsw
        10
    cwbsw  
       2019-05-10 09:40:57 +08:00
    @Tianao IPSec 在 Linux 上就是内核实现的,不然为什么性能吊打 OpenVPN 之流。
    julyclyde
        11
    julyclyde  
       2019-05-10 14:06:27 +08:00
    @qwerthhusn tls 在四层
    Tianao
        12
    Tianao  
       2019-05-10 14:53:44 +08:00   ❤️ 2
    @qwerthhusn
    有必要,简单来讲,永远不要信任自己用户其他服务的提供商。IP 层提供是主机到主机的通信,因此 IPsec 提供的是主机到主机的安全,而 TLS 可以提供端口到端口的安全,因此 TLS 提供的管道末端比 IPsec 更靠近最终应用。通常情况下,端口到端口既应用到应用。


    @brMu
    默认开启不是挺好吗?出于什么考虑给取消掉了呢?
    如 #9 所说,有在物联网设备等嵌入式设备上性能、成本和复杂性方面的考量,但更多的是因为公钥基础设施(证书体系)的不完善。我个人同时认为,主机到主机的安全隧道既不能替代高层安全方法,也不是为不受保护的高层流量提供透明安全的理想且优雅的选择。

    ipset 开启后,对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢?
    是的,所以历史包袱很重,你看现在大多运营商门户虽然支持了 IPv6 却没有支持 HTTPS。


    @cwbsw 查了一下确实是这样,从 2.6 版本开始 Linux 内核已经实现了 IPsec。
    qwerthhusn
        13
    qwerthhusn  
       2019-05-10 14:54:04 +08:00
    @julyclyde 你说的是 TCP/IP 四层模型的话,在第四层吧???反正不管是四层五层七层,这个应该在倒数第二层
    qwvy2g
        14
    qwvy2g  
       2019-05-10 14:59:52 +08:00 via Android
    有没有什么办法在两个 ipv6 主机重新打开这个功能?比如从路由到虚拟服务器?
    cwek
        15
    cwek  
       2019-05-10 19:58:42 +08:00
    @qwvy2g 可以啊,安装 strongswan。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5554 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 08:30 · PVG 16:30 · LAX 00:30 · JFK 03:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.