IPSec和IPv6它们能拯救我们吗
Posted by 黑暗天使 2008-3-25 12:32:00
C:\ >The good long time has not written the diary. . .
在IPV4的修订版中,已增加了IPsec的功能,并且在IPv6,也提供了IPSec的功能。IPSec在网络层为任何使用它的应用提供了安全性。现在所以安全问题都解决了吗?不幸的是 ,对于这个问题,可以断然回答:“NO!”尽管IPSec提供了很强的安全功能,但它倾向于小型应用。当前,许多组织用它在主网络和卫星办公室间创建安全隧道,或在主网络和单个用户之间创建VPN。但是,IPSec目前还不能作为通用的工具来保护Internet上的所有通信。IPSec之所以在使用上有所限制,主要有几个原因。限制IPSec广泛使用的一个主要原因设计加密密钥和数字证书的分发。要保护通信信道,IPSec依赖于拥有加密密钥的通信双方。记住,数字证书包括密钥,密钥用于验证表示并交换加密信息。不幸的是,我们没有巨大的证书交换系统来在全世界范围内传输得到信任的证书。没有这种基础设施,IPSec就需要用户和管理员手动交换密钥或建立他们自己的证书分发系统。
那么一旦我们部署了一个巨大的证书分发机制,我们就都安全了,Right?我再次很遗憾的告诉你,答案依然是否定的。只要场上仍然为了抢占市场份额而持续生产质量马虎的软件,那么无论有没有IPSec,我们都会收到安全漏洞的困扰。只要我们的组织继续讲这种软件垃圾放到网上,我们就会面临问题。只要经验不足的管理员偶然误配系统,想世界开放访问,攻击者就会攻占它。而且,即使通信本身被加密了,攻击者仍然可以试图破坏你的系统。当然,你可以对敏感数据实施较好的加密访问,但攻击者能否找到另一条未加密的路径到达你的机器呢?或者,更好一点,攻击者是否能直接在加密的路径上攻击你的系统呢?
我不想表现的过于悲观。但是,安全工作不至死保护在网络上传输的数据。网络级安全攻击,如IPSec,对帮助保护数据、防止基于网络的窃听及其有用。IPSec肯定是需要的,但只凭它还不足以解决所有的安全问题。
也许5-10年后,我们会有一个健壮、无所不在的网络安全解决方案,它可能基于IPSec。世界范围的安全基础设施会被很好地测试,确保没有厂商的错误导致攻击者破坏系统。而且,它将非常简单,不会因终端用户或管理员的原因而出现简单的配置错误。当我们达到这种网络安全境界时,我们将在保护我们的社会免受计算机攻击方面卖出一大步。
C:\ > I am a student, I like studying !
C:\ >The HacKeR NetSpy
C:\ >ExIT _ | |
