mejoras de red sobre ipsec

2

Tengo un entorno específico en el que TCP no es óptimo debido a sus suposiciones generales y, por lo tanto, debe mejorarse. Esta pequeña mejora se ha realizado con éxito. Funciona en varias capas, de 2 a 4, y necesita acceso de lectura / escritura a cierta información que se muestra en los paquetes TCP, como el tamaño de la ventana de congestión. Ahora me preguntaba si podría extender mi protocolo de pila propietario para operar con ipsec también. El problema es que ipsec encripta todo a través de ip, y necesito acceso rw a algunos valores TCP (no a todos). Durante el tiempo de configuración, tengo acceso de root a todos los componentes de la red (hosts, enrutadores, implementaciones ipsec, ...), pero durante el tiempo de ejecución, solo los hosts finales deben poder descifrar toda la carga útil. No soy un experto en seguridad, y me preguntaba si podría ayudarme a averiguar qué opciones estaban disponibles para lograr ese objetivo, sin comprometer demasiado la seguridad (al menos la carga útil).

Gracias.

    
pregunta bob 05.04.2012 - 16:48
fuente

1 respuesta

1

¿Está seguro de que necesita cifrado de capa de enlace? Para la mayoría de los propósitos, el cifrado de la capa de aplicación es suficiente.

Si realmente necesita el cifrado de capa de enlace, su mejor opción probablemente será canalizar su tráfico a través de un túnel seguro (OpenVPN, SSH, IPSec, etc.). Si bien es posible diseñar una protección similar a IPSec en su protocolo, esa es una tarea no trivial que requiere criptógrafos competentes y requerirá mirar los detalles específicos de su protocolo. No es algo que podamos hacer en este sitio.

Si realmente no necesita cifrado de capa de enlace, creo que será mucho más fácil implementar el cifrado de capa de aplicación. Básicamente, usted cifra el tráfico que se envía a través de su protocolo. Si su protocolo garantiza una entrega confiable en el pedido, use TLS . Si no lo hace, sugiero utilizar DTLS . Estos protocolos han sido cuidadosamente examinados, hay muchas implementaciones disponibles, y debería ser bastante sencillo colocarlas sobre tu protocolo sin temor a que introduzcas algún error de seguridad sutil y loco en el cifrado.

    
respondido por el D.W. 08.05.2012 - 23:52
fuente

Lea otras preguntas en las etiquetas