¿Qué es mejor para la comunicación de servidor a servidor: IPSec o TLS?

13

Quizás podrías ayudarme con un pequeño problema.

¿Recomendaría IPSec o TLS para una conexión de servidor a servidor? Necesito dos o tres argumentos para razonar una decisión dentro de mi trabajo final, pero lamentablemente no encontré un criterio para una exclusión. La reflexión de IPSec y TLS dentro de mi tesis es solo un aspecto menor, por lo tanto, una o dos razones principales para seleccionar TLS o IPSec serían suficientes. ¿Cree que la posible compresión dentro de IPSec podría ser una de estas razones principales?

Explicación más completa del escenario:

Un usuario desea iniciar sesión en un portal para hacer uso de un servicio. El backend del portal consta del propio portal, una autoridad de registro, administración de usuarios, autoridad de control de acceso, etc. ¿Debo elegir TLS o IPSec para asegurar esas conexiones de Backend? El servicio entregado no tiene que ser posicionado dentro del backend, pero es confiable y solo está conectado con el portal. Aquí hay una lista con las conexiones que quiero asegurar:

servicio (puede ser externo) ---- portal

autoridad de registro ---- gestión de usuarios

portal ---- gestión de usuarios

para una conexión de servidor-usuario ya tomé mi decisión, pero las razones que he usado para esta decisión no funcionan para una conexión de servidor a servidor.

¡Muchas gracias de antemano!

Una imagen del escenario:

(rojo = conexión problemática)

(de hecho, el modelo es mucho más grande, ya que también trato otros mecanismos como la autenticación, los mecanismos de almacenamiento, el acceso al almacenamiento, el control de acceso, la arquitectura de software, incluidas las posibles tecnologías, etc.). un aspecto parcial)

    
pregunta Saturas 26.09.2013 - 14:18
fuente

2 respuestas

19

Hay dos modos de uso principales para IPsec : AH y ESP . AH es solo para autenticación, así que supongo que estás hablando de un túnel ESP entre los dos servidores. Todos los paquetes IP se cifran y autentican, incluidos algunos detalles del encabezado, como los puertos de origen y destino. Hay varios algoritmos de cifrado y MAC que se pueden usar con IPsec; AES (modo CBC, clave de 128 bits) y HMAC / SHA-1 (truncado a 96 bits) están bien, y son DEBE implementarse , por lo que cualquier implementación de IPsec conforme debería respaldarlos.

Para esta parte de "tunelización", IPsec hace las cosas correctamente, y también lo hace TLS (asumiendo TLS 1.1 o 1.2, para la selección IV con cifrados de bloque en modo CBC). De hecho, se puede considerar que IPsec es "más correcto" que TLS porque utiliza cifrado-luego-MAC en lugar de MAC-luego-cifrado (consulte this ); sin embargo, la implementación correcta de TLS 1.1 o 1.2 también estará bien. Las diferencias prácticas ocurrirán en otros niveles:

Resumen: depende. Use IPsec si desea aplicarlo en aplicaciones que no cooperan (por ejemplo, una aplicación que no admite de forma nativa ningún tipo de protección para sus conexiones a otros servidores). Utilice TLS si desea abstraer la configuración a nivel del sistema operativo. Si aún desea usar TLS y aún así hacerlo a nivel del sistema operativo, entonces use una VPN potenciada por TLS.

    
respondido por el Tom Leek 26.09.2013 - 15:21
fuente
1

¿Qué implementación de TLS tenías en mente? Stunnel? IPsec y Stunnel proporcionan una seguridad comparable, pero Stunnel es mucho más fácil de configurar. IPsec tiene una curva de aprendizaje más pronunciada pero ofrece más funciones, incluido el santo grial de las redes etiquetadas cuando se utiliza con SELinux en ambos lados.     

respondido por el Matrix 26.09.2013 - 14:47
fuente

Lea otras preguntas en las etiquetas