IPv6 та IPSec - навіщо мені потрібен зовнішній демон?

Я читав, що IPSec є обов'язковим для реалізації IPv6. Чи означає це, що з нею слід обробляти ОС, а конфігурація IPSec повинна бути обов'язковою для роботи IPv6? Якщо так, то чому це не так? У мене працює тунель 6 в 4, встановлений між двома машинами Ubuntu, і, здається, IPv6 цілком задоволений без налаштування / роботи IPSec.

Також я прочитав, що для Ubuntu IPSec для IPv6 можна налаштувати за допомогою зовнішнього програмного забезпечення (racoon?). Чому IPSec не є обов'язковим для використання з реалізацією Ubuntu IPv6?

Він є обов'язковим для реалізації в підтримку IPSec для IPv6, але це не обов'язково , щоб включити його. І навіть обов'язковість (ОБОВ'ЯЗКОВО мовою IETF) змінюється на дуже настійну рекомендацію (ДОЛЖЕН на мові IETF, тобто впроваджувати, якщо у вас немає дуже вагомих причин цього не робити) в останніх оновленнях RFC.

Велика проблема безпеки полягає в тому, що зробити це повністю автоматично неможливо. Якби це було, то будь-хто міг автоматично приєднатися ;-) Налаштування системи для управління відкритими / приватними ключами, сертифікатами тощо (PKI: Інфраструктура відкритих ключів) - це завжди складне завдання при здійсненні такого роду безпеки.

PS: те, що потрібно IPSec, нічого не говорить про те, де він реалізований. Реалізація IPSec в окремому пакеті все ще означає, що цілість відповідає стандартам.

Підтримка IPSec призначена на рівні протоколу. Впровадження та використання не є.

навіщо мені потрібен зовнішній демон?

Ядро Linux підтримує IPsec тим, що воно може автоматично та прозоро шифрувати / розшифровувати пакети ESP або додавати / перевіряти заголовки AD при наданні ключів шифрування.

Тим НЕ менше, вам все ще потрібно програмне забезпечення , яке буде керувати цими ключами шифрування - це де єнот або StrongSwan приходять Вони дбають про перевірку справжності та обміну ключами (IKE, IKEv2, Kerberos) ;. вони підтримують призначення ключів (статичний ключ для хоста X, сервер X.509 для хоста Y); вони розповідають ядру про нові і закриті асоціації безпеки. Виконання всіх цих операцій у просторі користувача підвищує безпеку та надійність, а також дозволяє нові протоколи автентифікації або обміну ключами без необхідності перебудувати ядро. Крім того, багато з цих протоколів вже мають добре перевірені реалізації у користувальницькому просторі; все, що робиться в ядрі, вимагає дублювання великої кількості коду.