Incluiré los casos de uso originalmente previstos.
- Host-a-host, ad-hoc (por ejemplo: videoconferencia entre pares): todas las conexiones de una máquina a otra están encriptadas. No necesita cifrado dentro de ningún protocolo dado, todos los protocolos están intrínsecamente cifrados. Esto minimiza los gastos generales y la complejidad, y elimina la supervisión contextual que puede proporcionar información útil para descifrar protocolos cifrados.
- Confianza unidireccional host-a-host (p. Ej .: cliente-servidor): todas las conexiones se cifran como se indicó anteriormente, pero la identidad del servidor se puede validar. Esto elimina los ataques man-in-the-middle, pero requiere que tenga más información en la máquina del cliente para la validación del certificado.
- Confianza bidireccional de host a host (p. Ej .: DNS seguro sin DNSSec): como se indicó anteriormente, pero ambas partes están fuertemente validadas. Esto es más útil para vincular pares individuales de servidores de tal manera que sea imposible suplantar cualquiera de los extremos de la conexión y donde desee imponer el control de acceso de servidor a servidor en el nivel de la máquina, además de cualquier otro nivel.
- Host-to-network, ad-hoc (es decir: no le importa a qué red se está conectando, pero sí le importa que las conversaciones sean privadas o autónomas): por lo general, así es como operan los proveedores de VPN públicos. Se trata menos del cifrado y más del túnel. GRE sería igual de bueno, para la mayoría de las personas, si estuviera igual de disponible.
- Confianza unidireccional de host a red (p. Ej., Oficina en el hogar): este es el arreglo típico para las personas que usan VPN desde su casa, el pub, el aeropuerto, etc. Es lo suficientemente seguro como para que la actividad comercialmente sensible no pueda ser monitoreado en el cable. Sobre el hombro, tal vez, pero no en el cable.
- Confianza bidireccional de host a red (es decir: el host y la red deben autenticarse): esto es lo que ha estado haciendo la Marina de los EE. UU. Desde alrededor de 2001, junto con probablemente las otras ramas. No tengo idea de por qué no estaban haciendo esto antes de eso.
- Red a red, ad-hoc: en la especificación IPv6 original, el cifrado era obligatorio. Por lo tanto, este modo de operación era absolutamente esencial para la movilidad de la red (NEMO), ya que los enrutadores tenían que poder comunicarse entre sí a través del túnel cifrado con IPSec, sin tener ningún conocimiento previo de las redes que se conectarían.
- Confianza unidireccional de red a red: como se indicó anteriormente, excepto que permite a los usuarios establecer previamente el acceso a las redes para evitar cualquier tipo de ataque MitM.
- Confianza bidireccional de red a red: ampliamente utilizada para las relaciones entre empresas cuando se requiere el acceso a una red neutral, y también para configurar extranets seguras que sean seguras para el tráfico comercial sensible y las transacciones financieras que cumplan con los estándares.
Cuando la agrupación y desagrupación de transacciones era el aspecto más crítico de la gestión del tráfico de red y RSVP era de vanguardia, antes de reemplazar las prioridades de los paquetes con clasificadores y la invención de todas las instalaciones de QoS que todos conocemos y usaríamos si alguna vez Tuvieron tiempo de abordarlo, la gente necesitaba una forma de crear tuberías dentro de las tuberías donde la tubería exterior pudiera tener algún nivel de garantía.
Sin embargo, no recuerdo haber visto a IPSec ser mencionado como un método para hacer esto.
- ¿Qué significa "una conexión está abierta"?
- ¿Qué opina del Protocolo de identidad del host (HIP) descrito por RFC 5201 / RFC 7401?
- ¿Pueden las computadoras de consumo enviarse datos directamente entre sí? ¿Por qué o por qué no?
- ¿Qué es Ethernet y los usos de Ethernet?
- Redes de computadoras: ¿Cómo podemos compartir datos en una red inalámbrica entre múltiples nodos?
