首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
V2EX  ›  宽带症候群

ipv6 到底是不是加密的?

  •  
  •   brMu · 214 天前 via Android · 3495 次点击
    这是一个创建于 214 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ipv6 的加密是通过 ipsec 实现的吗?默认状态是开启还是关闭呢?
    ipsec 是在系统层实现的吗? linux 上如何开启和查看状态呢?
    ipv6 的加密对硬件性能有要求吗?对系统性能的影响有多大呢?
    ipv6 加密的安全性如何?加密后是不是就对中间人攻击和监听都免疫了?
    15 回复  |  直到 2019-05-10 19:58:42 +08:00
        1
    ruandao   214 天前
    ipv6 不是个地址扩充吗? 6 字节的 ip 地址
        2
    shansing   214 天前
    印象中最初的 IPv6 标准议案是有 ipsec 的,但由于现实原因变为非强制了。
        3
    Tianao   214 天前   ♥ 6
    挑几个答:

    ipv6 的加密是通过 ipsec 实现的吗?
    在 IP 层是的。

    默认状态是开启还是关闭呢?
    关闭的,以前的 RFC 规定是默认开启的,后来改掉了。

    ipsec 是在系统层实现的吗?
    不是在操作系统内核实现的,但大多数操作系统都提供系统级支持。

    ipv6 的加密对硬件性能有要求吗?
    取决于加密( AES、3DES 等)和完整性( MD5、SHA 等)算法,与 IPv6 或 IPsec 本身无关。

    对系统性能的影响有多大呢?
    取决于是否有硬件加速( offloading ),有就不大,比如一些采用 MIPS、ARM 架构的专门为 VPN 设计的硬件路由器、防火墙、多业务网关,虽然 CPU 参数不高,但开启 IPsec 后对性能影响很小;反观一些凌动、赛扬的软路由,如果无法成功调用硬件加速,IPsec 性能就惨不忍睹。

    ipv6 加密的安全性如何?
    同上,取决于加密算法和完整性算法,此外还取决于认证算法。

    加密后是不是就对中间人攻击和监听都免疫了?
    加密只能防旁路监听,防中间人和重放攻击要靠认证( PSK、Kerberos、证书等)和完整性保护(哈希校验等)。
        4
    nfroot   214 天前
    ipsec 应该是要吃性能的……为了性能还是不加密吧。。

    虽然现在的光猫都开始搞硬件加密了。。。
        5
    qwerthhusn   214 天前 via iPhone
    @Tianao 有了 ipsec,还有必要在第七层开 tls 吗?
        6
    zwy100e72   214 天前
    @qwerthhusn 有必要,安全就是要多层,攻破其中一层还有别的防御在

    再有,你的 ip 消息总是会离开 ipsec 的,从出口出去后也需要加密
        7
    brMu   214 天前
    @Tianao 感谢大佬的回复,再请教几个问题:
    默认开启不是挺好吗?出于什么考虑给取消掉了呢?
    ipset 开启后,对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢?
        8
    ghostheaven   214 天前 via Android
    请问下端到端的 ip 协议的加密连接怎么建立呢 @Tianao
        9
    bao3   214 天前 via iPhone   ♥ 1
    @brMu #7 你想想你家的电视空调这些低端设备,ipsec 全吃 cpu,它们怎么加密
        10
    cwbsw   214 天前
    @Tianao IPSec 在 Linux 上就是内核实现的,不然为什么性能吊打 OpenVPN 之流。
        11
    julyclyde   214 天前
    @qwerthhusn tls 在四层
        12
    Tianao   214 天前   ♥ 2
    @qwerthhusn
    有必要,简单来讲,永远不要信任自己用户其他服务的提供商。IP 层提供是主机到主机的通信,因此 IPsec 提供的是主机到主机的安全,而 TLS 可以提供端口到端口的安全,因此 TLS 提供的管道末端比 IPsec 更靠近最终应用。通常情况下,端口到端口既应用到应用。


    @brMu
    默认开启不是挺好吗?出于什么考虑给取消掉了呢?
    如 #9 所说,有在物联网设备等嵌入式设备上性能、成本和复杂性方面的考量,但更多的是因为公钥基础设施(证书体系)的不完善。我个人同时认为,主机到主机的安全隧道既不能替代高层安全方法,也不是为不受保护的高层流量提供透明安全的理想且优雅的选择。

    ipset 开启后,对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢?
    是的,所以历史包袱很重,你看现在大多运营商门户虽然支持了 IPv6 却没有支持 HTTPS。


    @cwbsw 查了一下确实是这样,从 2.6 版本开始 Linux 内核已经实现了 IPsec。
        13
    qwerthhusn   214 天前
    @julyclyde 你说的是 TCP/IP 四层模型的话,在第四层吧???反正不管是四层五层七层,这个应该在倒数第二层
        14
    qwvy2g   214 天前 via Android
    有没有什么办法在两个 ipv6 主机重新打开这个功能?比如从路由到虚拟服务器?
        15
    cwek   214 天前
    @qwvy2g 可以啊,安装 strongswan。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2663 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 26ms · UTC 13:51 · PVG 21:51 · LAX 05:51 · JFK 08:51
    ♥ Do have faith in what you're doing.