¿Qué es mejor para la comunicación de servidor a servidor: IPSec o TLS?

Question

¿Qué es mejor para la comunicación de servidor a servidor: IPSec o TLS?

#1 de Tom Leek (19 votos)
#2 de Matrix (1 votos)

13

Quizás podrías ayudarme con un pequeño problema.

¿Recomendaría IPSec o TLS para una conexión de servidor a servidor? Necesito dos o tres argumentos para razonar una decisión dentro de mi trabajo final, pero lamentablemente no encontré un criterio para una exclusión. La reflexión de IPSec y TLS dentro de mi tesis es solo un aspecto menor, por lo tanto, una o dos razones principales para seleccionar TLS o IPSec serían suficientes. ¿Cree que la posible compresión dentro de IPSec podría ser una de estas razones principales?

Explicación más completa del escenario:

Un usuario desea iniciar sesión en un portal para hacer uso de un servicio. El backend del portal consta del propio portal, una autoridad de registro, administración de usuarios, autoridad de control de acceso, etc. ¿Debo elegir TLS o IPSec para asegurar esas conexiones de Backend? El servicio entregado no tiene que ser posicionado dentro del backend, pero es confiable y solo está conectado con el portal. Aquí hay una lista con las conexiones que quiero asegurar:

servicio (puede ser externo) ---- portal

autoridad de registro ---- gestión de usuarios

portal ---- gestión de usuarios

para una conexión de servidor-usuario ya tomé mi decisión, pero las razones que he usado para esta decisión no funcionan para una conexión de servidor a servidor.

¡Muchas gracias de antemano!

Una imagen del escenario:

(rojo = conexión problemática)

(de hecho, el modelo es mucho más grande, ya que también trato otros mecanismos como la autenticación, los mecanismos de almacenamiento, el acceso al almacenamiento, el control de acceso, la arquitectura de software, incluidas las posibles tecnologías, etc.). un aspecto parcial)

tls ipsec

pregunta Saturas 26.09.2013 - 14:18

fuente

2 respuestas

1

¿Qué implementación de TLS tenías en mente? Stunnel? IPsec y Stunnel proporcionan una seguridad comparable, pero Stunnel es mucho más fácil de configurar. IPsec tiene una curva de aprendizaje más pronunciada pero ofrece más funciones, incluido el santo grial de las redes etiquetadas cuando se utiliza con SELinux en ambos lados.

respondido por el Matrix 26.09.2013 - 14:47

fuente

Lea otras preguntas en las etiquetas tls ipsec

¿La firma puede comprometer demasiado una clave privada? Secreto hacia adelante para niños

score 19 · Accepted Answer

Hay dos modos de uso principales para IPsec : AH y ESP . AH es solo para autenticación, así que supongo que estás hablando de un túnel ESP entre los dos servidores. Todos los paquetes IP se cifran y autentican, incluidos algunos detalles del encabezado, como los puertos de origen y destino. Hay varios algoritmos de cifrado y MAC que se pueden usar con IPsec; AES (modo CBC, clave de 128 bits) y HMAC / SHA-1 (truncado a 96 bits) están bien, y son DEBE implementarse , por lo que cualquier implementación de IPsec conforme debería respaldarlos.

Para esta parte de "tunelización", IPsec hace las cosas correctamente, y también lo hace TLS (asumiendo TLS 1.1 o 1.2, para la selección IV con cifrados de bloque en modo CBC). De hecho, se puede considerar que IPsec es "más correcto" que TLS porque utiliza cifrado-luego-MAC en lugar de MAC-luego-cifrado (consulte this ); sin embargo, la implementación correcta de TLS 1.1 o 1.2 también estará bien. Las diferencias prácticas ocurrirán en otros niveles:

Para cifrar y descifrar datos, sus dos servidores primero deben acordar un secreto compartido. De esto se trata el handshake en TLS; el equivalente en IPsec sería IKE . Es posible que desee confiar en certificados X.509 ; o tal vez en una "clave compartida" configurada manualmente en ambos servidores. Tanto TLS como IPsec admiten ambos, pero cualquier implementación específica de cualquiera de las opciones puede hacer que una opción sea más fácil o más compleja que la otra.
IPsec actúa a nivel del sistema operativo; el software de la aplicación no debe ser consciente de la presencia de IPsec. Esto es genial en algunos casos, no tan grande en otros. Por un lado, permite que algunas aplicaciones heredadas se "aseguren" con IPsec incluso si esto no se previó durante el desarrollo de la aplicación; y la administración de la seguridad se puede hacer sin estar limitada por lo que pensaron los desarrolladores de la aplicación (por ejemplo, si usa certificados X.509, puede aplicar las verificaciones de revocación, mientras que una aplicación con TLS podría usar una biblioteca que no admita CRL) . Por otro lado, con IPsec, las aplicaciones no pueden hacer nada específico de la aplicación con seguridad: un servidor no puede, por ejemplo, variar su administración de seguridad dependiendo de qué otro servidor le esté hablando.
Aunque el TLS normalmente se usa de manera aplicativa, también es posible usarlo como un bloque de construcción para un entre los dos servidores. Básicamente, esto significa usar TLS como si fuera IPsec.

IPsec es a nivel de sistema operativo, su funcionamiento implica problemas con la configuración de red a nivel de sistema operativo, mientras que TLS generalmente se puede mantener en el nivel de aplicación. En las grandes organizaciones, las personas de la red y las personas de aplicaciones tienden a vivir en mundos separados (y, lamentablemente, a menudo están en guerra entre sí). Mantener todo en la capa de aplicación puede facilitar la implementación y la administración, por razones organizativas.

Resumen: depende. Use IPsec si desea aplicarlo en aplicaciones que no cooperan (por ejemplo, una aplicación que no admite de forma nativa ningún tipo de protección para sus conexiones a otros servidores). Utilice TLS si desea abstraer la configuración a nivel del sistema operativo. Si aún desea usar TLS y aún así hacerlo a nivel del sistema operativo, entonces use una VPN potenciada por TLS.