簡介
在IPV4的修訂版中,已增加了IPsec的功能,並且在IPv6,也提供了IPSec的功能。IPSec在網路層為任何使用它的套用提供了安全性。現在所以安全問題都解決了嗎?不幸的是,對於這個問題,可以斷然回答:“NO!”儘管IPSec提供了很強的安全功能,但它傾向於小型套用。當前,許多組織用它在主網路和衛星辦公室間創建安全隧道,或在主網路和單個用戶之間創建VPN。但是,IPSec目前還不能作為通用的工具來保護Internet上的所有通信。IPSec之所以在使用上有所限制,主要有幾個原因。限制IPSec廣泛使用的一個主要原因設計加密密鑰和數字證書的分發。要保護通信信道,IPSec依賴於擁有加密密鑰的通信雙方。記住,數字證書包括密鑰,密鑰用於驗證表示並交換加密信息。不幸的是,我們沒有巨大的證書交換系統來在全世界範圍內傳輸得到信任的證書。沒有這種基礎設施,IPSec就需要用戶和管理員手動交換密鑰或建立他們自己的證書分發系統。
發展
那么一旦我們部署了一個巨大的證書分發機制,我們就都安全了,Right?我再次很遺憾的告訴你,答案依然是否定的。只要場上仍然為了搶占市場份額而持續生產質量馬虎的軟體,那么無論有沒有IPSec,我們都會收到安全漏洞的困擾。只要我們的組織繼續講這種軟體垃圾放到網上,我們就會面臨問題。只要經驗不足的管理員偶然誤配系統,想世界開放訪問,攻擊者就會攻占它。而且,即使通信本身被加密了,攻擊者仍然可以試圖破壞你的系統。當然,你可以對敏感數據實施較好的加密訪問,但攻擊者能否找到另一條未加密的路逕到達你的機器呢?或者,更好一點,攻擊者是否能直接在加密的路徑上攻擊你的系統呢我不想表現的過於悲觀。但是,安全工作不至死保護在網路上傳輸的數據。網路級安全攻擊,如IPSec,對幫助保護數據、防止基於網路的竊聽及其有用。IPSec肯定是需要的,但只憑它還不足以解決所有的安全問題。也許5-10年後,我們會有一個健壯、無所不在的網路安全解決方案,它可能基於IPSec。世界範圍的安全基礎設施會被很好地測試,確保沒有廠商的錯誤導致攻擊者破壞系統。而且,它將非常簡單,不會因終端用戶或管理員的原因而出現簡單的配置錯誤。