IPv6とIPsec - 外部デーモンが必要なのはなぜですか?
IPv6実装にIPSecが必須であることを読んでください。これは、それがOSによって処理されるべきであり、IPv6がIPv6に義務付けられるべきであることを意味しますか?もしそうなら、なぜこれはそうではないのですか?私は2つのUbuntuマシンの間に6インチ4イントロジーを設定し、IPv6はIPSecが構成されていない/働くことなく完全に満足しているようです。
また、Ubuntuの場合は、外部ソフトウェア(RACOON?)を使用してIPv6用のIPSecを設定できます。 IPsecがUbuntuのIPv6実装で使用することに必須ではないのはなぜですか?
IPv6の実装にはSupport IPsecに必須ですが、enableそれは必須ではありません。そして、最新のRFCの更新では、非常に強い推奨に変更されています(IETF言語では、IETF言語、すなわち非常に正当な理由がない限り、実装する必要があります)。
セキュリティに関する大きな問題は、それが完全に自動的に行うことが不可能であるということです。それがあった場合、誰かが自動的に参加することができます。
PS:そのIPsecが必要とされることは、それが実装されている場所について何も言わない。 IPsecは別のパッケージで実装されていることは依然として全体が標準に準拠していることを意味します。
Ipsecsupportプロトコルレベルで義務付けられています。実装と使用法はそうではありません。
外部デーモンが必要なのはなぜですか?
Linuxカーネルは、暗号化キーを指定して、ESPパケットを自動的かつ透過的に暗号化/復号化/復号化できるという点でIPsecをサポートします。
しかし、あなたはまだ管理(管理)==それらの暗号化キーを必要とするソフトウェアを必要としています - これは、RACOONまたはStrongswanが入ってくるところです。彼らは認証と鍵交換の世話をします(IKE、IKEv2、Kerberos)。それらは鍵の割り当てを維持します(ホストXの静的キー、ホストYのX.509 Cert)。彼らはカーネルに新規でドロップされたセキュリティアソシエーションについて教えてください。これらの操作をすべてユーザースペースにすると、セキュリティと信頼性が向上し、カーネルを再構築しなくても新しい認証または鍵交換プロトコルが可能になります。さらに、これらのプロトコルの多くはすでにユーザー空間に実装されている実装を持っています。カーネル内のすべてをすることは、多くのコードを複製する必要があります。