单鞋不完全适配 SD-WAN提供商地道用户流量有多种方式避免任何人 未右扩展IPSec
开始技术段之旅时, 于二零零年代初期, 网络世界由简单结构组成记得配置数个标准分支网站 连接中心总部只有少数边远武士被分配 通常只有少数高官
随着对网络依赖增加,网络设计复杂性也增加标准单站点变双基并冗连通不同的提供商,高级故障复用技术,高可用性设计成为规范远程工数增加,最终安全漏洞开通
不幸的是,网络连通性的进步与安全的适当进步不相联,迫使每个人返回绘图板没有充分安全,网络连通性缺省,完全不安全,无法验证源或安全单个包信不信由你 网络安全安全连接无保介质 并实现IPSec VPN
各种SD-WAN商贩提供交通分割核心服务然而,这可以通过多种方式实现。部分带IPSec基础知识实施, 另一些移入数据gram传输层安全Lavall网络特征集使用专有隧道机制
从我过去的经验来看 复杂性介绍是安全头号敌人IPSec基础VPN所有配置参数提醒我瑞士军刀它可以做很多事,但没有一件事很好
类似地,IPSec在许多方面都差强人意控件和数据平面之间的移动部件太多历史悠久互操作性问题 挑战由先进网络设计浮出水面缺少性能标度让我将IPSec评为差安全框架let we审查IPSec的主要缺陷 IPSec-瑞士军刀kludges
多位移动分量通向折中
IPSec由协议集组成,启动控制通道并发数据通道双道必须同步结果,数据安全交换前有许多移动部件
互联网密钥交换控制平面使用用户数据表协议运输和所有其他控制机一样 需要建立并维护 创建状态维护
记得我第一次参与网络黑客原因是一位非熟练管理员懒惰默认,他正在配置伙伴IPSec基础VPNSloppy IKE配置为坏演员提供天堂,门开着熟练坏角色破坏网络后 坏角色很容易绕过标准防御机制 同时横向移动网络导致数据破解和清除,数月内常无人注意。
安全专业人员必须采取适当步骤确保对IKE进程的保护网络或安全用具上,这可能包括数项不同的配置参数,如基础设施ACL或控制平面维护
黑客开发工具攻击商谈IKEv2比IKEV1安全,但它不后向兼容IKEv2实施也是最近才开始的,所以我们从协议和兼容性问题中学到的教益不多。
Interoperability
曾有一个厂商提供所有端点设备IPSec就不会有问题曾尝试在不同厂商间创建IPSec基础VPNCiscoIOS路由器和JuniperNetScreen或苹果MAC
从存储器到网站VPN创建CiscoIOS路由器和JuniperNetScreen应用程序之间的站点VPN产生太多噪声 终于,一旦我排成一行 所有鸭子,IPSec标准供销商必须遵循,但可以各种方式实施多厂商增加功能以满足具体需求,从而增加复杂性
我拍自己的脚 这么多次证书字段可作不同解释,默认参数不匹配,支持不同的加密压缩算法导致头痛和长夜越多互操作性使用系统 搭建程序越复杂复杂性本身可能成为安全风险
挑战高级设计
IPSec处理复杂多点互连性和高可用性设计时不够好默认时IPSec显示静态设计,高级敏捷架构需要与其他更高层次协议合并附加kludges要求使 IPSec工作, 并增加网络复杂性,
IPSec是点对点结构,而不是站点对点产生复杂度时,有双连通网站,并存多链接到不同的服务提供方IPSec有冗余上行链路时表现不好需要IPSec失效时,需要添加路由协议或使用其他附加机制但这些系统必须适当整合,因此故障排除变得复杂
网络地址翻译(NAT)无疑将出现在网络路径上NAT更改IP地址、页眉校验和、端口号、TCP序列号、断端对端连接传统IPSec无法通过NAT设备传输,完全端对端连接缺失可导致NAT配置互操作性有工作变通办法,但同时可能并非所有供应商都实施这些变通办法。
数家商家电厂不支持IPSec通道内多播流量迫使我沿路使用通用路由封装GRE增加一层复杂度并有可能递归路由,从而引起GRE编织基本说来,我必须配置小网IPSec和中大型网GRE
缺乏性能度量
配置冗余IPSec通道时,IPSc通道选择不基于智能度量现时应用默认智能度量IPSec不计数,例如链路质量、延时或包滴只要通道响应简单保持心跳, 它只能认为它起作用, 并因此缺失关键链性能度量
旧框架像 IPSec不够支持今天敏捷需求敏捷网络需要一种新的安全方法,IPSec多层需要完全理解基本说来,它非但没有加固网门,反而因复杂多变配置而有可能打开网门单鞋肯定不完全匹配 IPSec配置
