Che cos’è IPsec e come funziona?

IPsec è un framework di tecniche utilizzate proteggere la connessione tra due punti. È l’acronimo di Internet Protocol Security ed è più frequente nelle VPN. Può essere alquanto complesso, ma è un’opzione utile per proteggere le connessioni in determinate situazioni.

Questa guida suddivide IPsec in semplici blocchi, dandoti un’introduzione che copre cos’è il protocollo, come funziona e alcuni dei suoi potenziali problemi di sicurezza.

IPsec: una panoramica

IPsec è stato inizialmente sviluppato perché il protocollo Internet più comune, IPv4, non ha molte disposizioni di sicurezza in atto. I dati trasmessi su IPv4 possono essere facilmente intercettati, modificati o arrestati, che lo rende un sistema scadente per eventuali trasmissioni importanti.

Era necessario un nuovo insieme di standard per proteggere le informazioni. IPsec ha colmato questa lacuna agendo come un framework in grado di autenticare le connessioni, oltre a dimostrare l’integrità dei dati e renderli riservati. IPsec è uno standard aperto che agisce a livello di rete. Può essere utilizzato per trasferire in modo sicuro i dati da host a host, da rete a rete o tra una rete e un host.

IPsec è più comunemente usato per proteggere il traffico che passa su IPv4. Inizialmente, era necessario anche implementare il nuovo protocollo Internet, IPv6, per supportare IPsec. Nonostante ciò, ora è solo una raccomandazione e non viene applicata.

Come framework, IPsec è composto da tre elementi principali. I primi due sono i protocolli, Encapsulating Security Payload (ESP) e Authentication Header (AH). Associazioni di sicurezza (SA) sono l’aspetto finale.

ESP può essere utilizzato sia per crittografare che per autenticare i dati, mentre AH può essere utilizzato solo per autenticarli. Le due opzioni vengono normalmente utilizzate separatamente, sebbene sia possibile utilizzarle insieme.

IPsec utilizza SA per stabilire i parametri delle connessioni. Questi parametri includono i sistemi di gestione delle chiavi che ciascuna parte utilizzerà per autenticarsi a vicenda, nonché algoritmi di crittografia, algoritmi di hashing e altri elementi importanti per il funzionamento di una connessione sicura e stabile.

IPsec può utilizzare sia ESP che AH in modalità tunnel o trasporto. Quando viene utilizzata la modalità tunnel, l’intero pacchetto di dati viene crittografato o autenticato (o entrambi). Il payload, l’intestazione e il trailer (se inclusi) sono racchiusi in un altro pacchetto di dati per proteggerlo.

In modalità trasporto, l’intestazione originale rimane, ma sotto viene aggiunta una nuova intestazione. Ci sono anche alcune altre modifiche, a seconda che venga utilizzato ESP o AH. Questo serve a proteggere il pacchetto, tuttavia alcune informazioni sono ancora disponibili per gli attaccanti.

La configurazione più comune che vediamo è ESP con autenticazione in modalità tunnel. Questo è ciò su cui molte VPN si affidano per proteggere i dati. Funziona come un tunnel crittografato, fornendo ai dati un passaggio sicuro mentre passa attraverso reti intermedie potenzialmente pericolose.

La storia di IPsec

All’inizio di Internet, la sicurezza non era una priorità in molte situazioni. Questo perché la comunità di Internet era limitata a coloro che avevano le conoscenze, le risorse e il desiderio di usarla. Il numero di utenti era esiguo rispetto ai giorni nostri e veniva trasmessa una quantità molto inferiore di dati. Per questo motivo, gli aggressori avevano molte meno opportunità.

Man mano che la comunità cresceva e Internet diventava più attiva, la sicurezza è diventata più di una necessità. Negli anni ottanta, l’NSA ha utilizzato il suo programma Secure Data Network Systems (SDNS) per finanziare lo sviluppo di una serie di protocolli incentrati sulla sicurezza.

I risultati sono stati pubblicati dal National Institute of Standards and Technology (NIST) nel 1988. Uno dei protocolli delineati dal NIST, Protocollo di sicurezza a livello 3 (SP3), finito per diventare uno standard Internet, il Network Layer Security Protocol (NLSP).

Nel tempo, varie organizzazioni hanno iniziato a migliorare SP3, con progetti intrapresi dal US Naval Research Lab (NRL), AT&T Bell Labs, Trusted Information Systems e altri. Allo stesso tempo, altri progressi, come il driver di dispositivo per il Data Encryption Standard (DES), hanno reso possibile l’invio sicuro dei dati tra le coste degli Stati Uniti a velocità ragionevoli per il periodo di tempo.

Se questi sviluppi fossero stati lasciati continuare separatamente, ciò avrebbe portato a problemi di interoperabilità tra i vari sistemi. L’Internet Engineering Task Force (IETF) ha formato il gruppo di lavoro sulla sicurezza IP per standardizzare questi sviluppi in un protocollo interoperabile. Nel 1995, l’IETF ha pubblicato i dettagli dello standard IPsec in RFC 1825, RFC 1826 e RFC 1827.

L’NRL è stato il primo a presentare un’implementazione funzionante dello standard, che da allora è diventato di uso corrente. Nel corso degli anni, ci sono stati numerosi aggiornamenti a IPsec e alla sua documentazione, ma è ancora distribuito per autenticare entrambi i lati di una connessione e proteggere i dati che viaggiano tra.

Come funziona IPsec?

Prima di entrare nei dettagli più tecnici di IPsec e delle sue diverse modalità, ne parleremo attraverso un’analogia che semplifica la visualizzazione delle configurazioni un po ‘complicate. Innanzitutto, è necessario comprendere un po ‘come funzionano i pacchetti su IPv4 e i problemi di sicurezza ad essi associati.

Cosa sono i pacchetti di dati e come funzionano?

I dati vengono trasmessi in pacchetti, che consistono in a payload e un’intestazione in IPv4. Il payload sono i dati stessi che vengono trasmessi, mentre l’intestazione include il tipo di protocollo, gli indirizzi e altre informazioni necessarie per assicurarsi che i dati possano arrivare nella posizione desiderata.

Uno dei modi migliori per immaginare i pacchetti di dati è pensarli come cartoline. Il payload è il messaggio che qualcuno scrive sul retro e l’intestazione è l’informazione di consegna che hai messo in primo piano. Proprio come con le cartoline, i dati inviati in un normale pacchetto IPv4 non sono molto sicuri.

In questi pacchetti standard, chiunque può vedere il payload, proprio come il postino o qualsiasi attaccante che intercetta la tua cartolina può leggerlo. Questi pacchetti possono anche essere modificati come se inizialmente avessi scritto la cartolina a matita e un aggressore ha cancellato il messaggio originale e scritto in qualcos’altro.

Gli aggressori possono anche vedere le informazioni dell’intestazione, proprio come il lato anteriore della tua cartolina. Questo fa loro sapere con chi stai comunicando e come lo stai facendo. Possono persino falsificare i propri pacchetti IPv4 per farli sembrare come se li avessi inviati, un po ‘come se avessero copiato il tuo stile di scrittura e fingessero di essere te.

Come puoi vedere, questo non è certo un metodo di comunicazione sicuro e ci sono molti modi in cui può essere interrotto dagli aggressori. Questo è ciò che ha portato allo sviluppo di IPsec. iot ha fornito un modo per autenticare le connessioni, dimostrare l’integrità dei dati e mantenerli riservati, tutto a livello di rete. Senza IPsec o altri protocolli di sicurezza in atto, gli aggressori sarebbero liberi di visualizzare o alterare qualsiasi dato sensibile e prezioso intercettato.

Encapsulating Security Payload (ESP): una visualizzazione

Parleremo prima di ESP perché questo è il protocollo più comunemente usato. Quando viene implementato con autenticazione in modalità tunnel, viene utilizzato per formare VPN connettere in modo sicuro host e reti attraverso le reti intermedie non sicure che si trovano nel mezzo.

Come hai visto sopra, non è sicuro trasmettere dati sensibili con IPv4. La modalità ESP di IPsec risolve questo problema fornendo un modo per farlo crittografare i dati, ciò rende i dati riservati e impedisce agli aggressori di accedervi. ESP può anche essere utilizzato per autenticare i dati, il che può dimostrare la sua legittimità.

Quando ESP viene utilizzato con la crittografia, è molto simile a mettere la cartolina in una scatola chiusa e inviarla tramite corriere. Nessuno può vedere il contenuto della cartolina, né può alterarli. Possono vedere qualsiasi informazione postale sia scritta sulla scatola chiusa, ma questo è diverso da ciò che è scritto sulla cartolina.

Se ESP viene utilizzato anche con l’autenticazione, è un po ‘come firmare la cartolina o apporre il proprio sigillo personale prima che venga inserito nella confezione. Quando il destinatario riceve la casella bloccata, può aprirla ed estrarre la cartolina. Quando vedono il sigillo o la firma, sanno che la cartolina è legittimamente da te.

Quando ESP è in modalità di trasporto, è come se la cartolina fosse bloccata in una scatola e inviata dal corriere, tranne per il fatto che la scatola ha una finestra chiara attraverso la quale è possibile visualizzare le informazioni sull’indirizzo della cartolina. Quando è in modalità tunnel, è come se la cartolina fosse in una scatola piena, con diverse informazioni sull’indirizzo all’esterno.

Ovviamente, questa è solo un’analogia per aiutarti a visualizzare cosa sta succedendo. In realtà ce ne sono alcuni differenze piuttosto significative come i dati che viaggiano tra reti e host, piuttosto che solo una persona che invia informazioni a un’altra.

Encapsulating Security Payload (ESP): i dettagli tecnici

Ora che ti abbiamo dato un’idea approssimativa di come funziona ESP per proteggere i dati, è tempo di esaminarli a un livello più tecnico. ESP può essere utilizzato con una gamma di diversi algoritmi di crittografia, con AES è uno dei più popolari. Può anche essere implementato senza crittografia, anche se ciò avviene raramente in pratica. Le intestazioni dei pacchetti di dati ESP hanno un indice dei parametri di sicurezza (SPI) e un numero di sequenza.

L’SPI è un identificatore che consente al destinatario di sapere a quale connessione si riferiscono i dati, nonché i parametri di tale connessione. Il numero di sequenza è un altro identificatore che aiuta a impedire agli aggressori di modificare i pacchetti di dati.

ESP include anche un trailer, che contiene imbottitura, dettagli sul tipo di protocollo per l’intestazione successiva e dati di autenticazione (se si utilizza l’autenticazione). Quando è in atto l’autenticazione, viene eseguita con a Codice di autenticazione dei messaggi con hash (HMAC), che viene calcolato utilizzando algoritmi come SHA-2 e SHA-3.

L’autenticazione ESP convalida solo l’intestazione ESP e il payload crittografato, ma non influisce sul resto del pacchetto. Quando un pacchetto viene crittografato con ESP, gli aggressori possono vedere solo i dati dall’intestazione e non il payload.

Payload di sicurezza incapsulante (ESP): modalità di trasporto

La modalità di trasporto di ESP viene utilizzata per proteggere le informazioni inviate tra due host. L’intestazione IP viene mantenuta in cima al pacchetto ESP e gran parte delle informazioni sull’intestazione rimangono invariate, inclusi gli indirizzi di origine e di destinazione. Crittografa e autentica facoltativamente il pacchetto, il che fornisce riservatezza e può essere utilizzato anche per verificare l’integrità del pacchetto.

Payload di sicurezza incapsulante (ESP): modalità tunnel

Quando ESP è in modalità tunnel, l’intero pacchetto di dati IP viene racchiuso in un altro e una nuova intestazione viene aggiunta in cima. Quando è presente anche l’autenticazione, la modalità tunnel ESP può essere utilizzata come VPN. Questa è la configurazione utilizzata più frequentemente da IPsec.

Le misure di autenticazione, prova di integrità e riservatezza implicate nella modalità tunnel autenticata di ESP lo rendono utile per unire in sicurezza due reti separate attraverso le reti non attendibili e potenzialmente pericolose che si trovano tra di loro.

Questa modalità è meglio descritta dal comune cliché della costruzione di un tunnel crittografato tra i due punti, creando una connessione sicura a cui gli attaccanti non possono penetrare. Quando ESP viene utilizzato per crittografare e autenticare, gli aggressori che intercettano i dati possono solo vedere che viene utilizzata una VPN per la connessione. Non possono vedere il payload o l’intestazione originale.

Le VPN sono state inizialmente utilizzate dalle aziende per connettere gli uffici regionali con la sede centrale. Questo tipo di connessione consente alle aziende di condividere facilmente e in modo sicuro i dati tra le loro sedi separate. Negli ultimi anni, le VPN sono anche diventate un servizio popolare per le persone. Sono spesso utilizzati per geo-spoofing o per proteggere le connessioni, in particolare quando si utilizza il wifi pubblico.

Authentication Header (AH): una visualizzazione

Ora che abbiamo trattato ESP, AH dovrebbe essere un po ‘più facile da capire. Poiché AH può essere utilizzato solo per autenticare i pacchetti di dati, è come firmare una cartolina o aggiungere il proprio sigillo. Poiché non è implicata alcuna crittografia, in questa analogia non esiste una scatola chiusa o un corriere.

La mancanza di protezione crittografata è un po ‘come una cartolina inviata attraverso la posta ordinaria, in cui il postino e tutti gli aggressori possono vedere sia le informazioni sull’indirizzo, sia il messaggio scritto sul retro della carta. Tuttavia, a causa del sigillo o della firma, queste informazioni non possono essere modificate. Allo stesso modo, il sigillo e la firma ti consentono di dimostrare che eri il vero mittente, piuttosto che qualcuno che stava cercando di imitarti.

In modalità di trasporto AH, un viene aggiunta l’intestazione di autenticazione, che protegge il payload e la stragrande maggioranza delle informazioni dell’intestazione. Questo è un po ‘come una cartolina immaginaria che ha un chiaro sigillo che protegge la maggior parte dei suoi contenuti.

Qualunque cosa sotto il sigillo non può essere cambiata, ma l’intera cartolina può essere vista da chiunque lo intercetti. Alcuni dettagli non sono coperti dal sigillo e potrebbero essere alterati, ma tutte le informazioni importanti sono protette dal sigillo. Il sigillo avrebbe anche alcune informazioni scritte su di esso, ma ai fini di questo esempio, non è importante elaborarlo in questo momento.

Nel modalità tunnel, il pacchetto è racchiuso all’interno di un altro e la maggior parte è autenticata. L’analogia si rompe un po ‘in questo caso, ma è un po’ come avvolgere la cartolina in una busta trasparente con un sigillo. La busta contiene anche le proprie informazioni sull’indirizzo e il sigillo protegge quasi tutto dall’essere modificato.

Authentication Header (AH): dettagli tecnici

AH viene utilizzato per autenticare che i dati provengono da una fonte legittima e che mantengono la loro integrità. Può essere usato per mostrare che i dati non sono stati manomessi e per proteggersi dagli attacchi di replay.

L’AH non è implementato molto frequentemente, ma è comunque importante discuterne. Aggiunge la propria intestazione di autenticazione e utilizza Codici di autenticazione dei messaggi hash (HMAC) per proteggere la maggior parte del pacchetto di dati. Ciò include l’intero payload, nonché la maggior parte dei campi nell’intestazione. Gli HMAC sono calcolati con algoritmi hash come SHA-2.

Authentication Header (AH): modalità di trasporto

La modalità di trasporto AH è generalmente utilizzata per comunicazione bidirezionale tra host. Un’intestazione AH viene aggiunta al pacchetto e parte del codice del protocollo viene spostato. Quando arriva un pacchetto AH e viene controllato l’HMAC, l’intestazione AH viene rimossa e vengono apportate alcune altre modifiche. Una volta che il pacchetto di dati è tornato nella sua forma normale, può essere elaborato come al solito.

Authentication Header (AH): modalità tunnel

In questa modalità, il pacchetto originale è racchiuso in un altro, quindi autenticato con un HMAC. Questo processo aggiunge un’intestazione di autenticazione, autenticazione dell’intera intestazione originale (in modalità di trasporto, alcune parti dell’intestazione non sono coperte) così come la maggior parte dell’intestazione appena aggiunta. Anche il payload è autenticato.

Quando questi pacchetti raggiungono la loro destinazione, vengono sottoposti a un controllo di autenticazione, quindi il pacchetto viene riportato alla normalità eliminando sia l’intestazione appena aggiunta, sia l’intestazione di autenticazione.

Associazioni di sicurezza (SA)

Le Associazioni di sicurezza (SA) impostano e memorizzano i parametri per una connessione IPsec. Sono utilizzati sia da AH che da ESP per stabilire un processo di comunicazione stabile che soddisfi le esigenze di sicurezza di ciascuna parte. Ogni host o rete ha SA separate per ogni parte a cui si connette, tutte con i propri parametri.

Quando due host negoziano la loro connessione per la prima volta, lo fanno formare una SA con i parametri che verranno utilizzati nella connessione. Lo fanno in una procedura dettagliata, con una parte che offre una politica che l’altra può accettare o rifiutare. Questo processo continua fino a quando non escogitano una politica reciprocamente piacevole e che si ripete per ciascun parametro separato.

Ogni SA include gli algoritmi che verranno utilizzati, se si tratta di autenticazione (come SHA-2) o crittografia (come AES). Le SA includono anche i parametri per lo scambio di chiavi (come IKE), la politica di filtro IP, le restrizioni di routing e altro. Una volta stabilita un’associazione di sicurezza, questa viene archiviata nel database dell’associazione di sicurezza (SAD).

Quando un’interfaccia riceve un pacchetto di dati, utilizza tre diverse informazioni per trovare la SA corretta. Il primo è il Indirizzo IP partner, che come si potrebbe supporre, è l’indirizzo IP dell’altra parte nella connessione. Il secondo è il Protocollo IPsec, ESP o AH.

L’ultima informazione è il Indice dei parametri di sicurezza (SPI), che è un identificatore che viene aggiunto all’intestazione. Viene utilizzato per scegliere tra le SA di connessioni diverse al fine di assicurarsi che vengano applicati i parametri corretti.

Ogni SA va solo in un modo, quindi ne sono necessari almeno due in modo che la comunicazione possa andare in entrambe le direzioni. Se si dovessero usare AH ed ESP insieme, sarà necessaria una SA in ciascuna direzione per ciascun protocollo, per un totale di quattro.

IPsec vs. TLS / SSL

A volte può essere difficile comprendere la differenza tra IPsec e protocolli come TLS / SSL. Dopotutto, entrambi forniscono solo sicurezza, giusto? Lo fanno, ma lo fanno in modi e livelli diversi.

Uno dei modi migliori per confrontare IPsec e TLS / SSL è guardali nel contesto del modello OSI. Il modello OSI è un sistema concettuale utilizzato per aiutare a comprendere e standardizzare i diversi aspetti e livelli del nostro complicato processo di comunicazione.

In questo modello, IPsec funziona al terzo livello, il livello di rete, il che significa che è posizionato per trasferire pacchetti di dati a un host su una singola o serie di reti.

Quando guardiamo a TLS / SSL, le cose diventano un po ‘più confuse. Questo perché funziona su un altro mezzo di trasporto, TCP. Questo dovrebbe posto TLS / SSL sopra il livello quattro nel modello OSI.

TLS / SSL organizza anche messaggi di handshake, che sono il quinto livello, il livello di sessione. Ciò metterebbe TLS / SSL nei livelli sei o sette.

Diventa più complicato se si considera che le applicazioni utilizzano TLS / SSL come protocollo di trasporto. Ciò porterebbe TLS / SSL al livello quattro o inferiore. Ma come può essere simultaneamente negli strati sei o sette, così come nello strato quattro o inferiore?

La risposta è che il TLS / SSL non si adatta al modello. Le ragioni alla base di ciò non rientrano nell’ambito di questo articolo. La cosa più importante che devi sapere è che il modello OSI è proprio questo, un modello, e talvolta la realtà non è conforme ai nostri modelli ordinati e ordinati.

Quando parliamo di questi standard in senso pratico, Il ruolo di TLS / SSL è autenticare i dati, verificarne l’integrità, crittografarli e comprimerli. Può essere implementato per proteggere una serie di altri protocolli, come HTTP o SMTP, ed è anche visto in una vasta gamma di applicazioni, come VoIP e navigazione Web.

IPsec differisce in un paio di modi, il primo è quello è un quadro, piuttosto che un singolo protocollo. È anche più complesso, il che rende difficile l’installazione e la manutenzione.

Alla fine, TLS / SSL è più semplice di IPsec, motivo per cui tende ad essere implementato in modo più diffuso. È una parte fondamentale di uno dei principali protocolli di tunneling alternativi, OpenVPN.

Guarda anche: Guida definitiva a TCP / IP

Sicurezza IPsec

Negli ultimi anni si è parlato molto agenzie governative che inseriscono backdoor in IPsec e sfruttano le vulnerabilità per colpire coloro che utilizzano il protocollo. Alcune delle prime accuse sono emerse nel 2010, quando Greg Perry ha contattato lo sviluppatore principale di OpenBSD.

Lo ha affermato l’FBI aveva inserito numerose backdoor, oltre a meccanismi per la perdita della chiave del canale laterale, nel codice OpenBSD. Ciò avrebbe influito sullo stack IPsec di OpenBSD, ampiamente utilizzato.

Nelle perdite di Snowden del 2013, è stato rivelato che il L’NSA stava prendendo di mira varie forme di crittografia e altri strumenti di sicurezza. I documenti sembrano confermare che l’NSA aveva i propri metodi per accedere alle chiavi utilizzate in IPsec, consentendo loro di curiosare su determinate connessioni.

La documentazione trapelata dagli Shadow Brokers nel 2016 mostra che NSA ha uno strumento che potrebbe essere utilizzato per interrompere l’implementazione IPsec utilizzata nei firewall PIX di Cisco. Sebbene questi firewall siano stati interrotti nel 2009, l’attacco BENIGNCERTAIN potrebbe essere utilizzato per accedere alle password per i dispositivi PIX.

L’attacco ha comportato l’invio di pacchetti IKE (Internet Key Exchange) a un server PIX, che gli farebbe liberare parte della sua memoria. È possibile cercare queste informazioni per trovare le informazioni di configurazione e la chiave privata RSA, che potrebbero essere utilizzate dall’NSA per spiare la connessione IPsec. Tieni presente che questa è solo un’implementazione vulnerabile e non influisce su nessuna delle attuali forme di IPsec.

Nel 2023, i ricercatori hanno sfruttato un difetto nel protocollo IKE, che ha permesso loro di decrittografare le connessioni. La prova di concetto può essere utilizzata per condurre attacchi man-in-the-middle, in cui gli aggressori possono intercettare dati, manometterli o addirittura impedirne la trasmissione.

La tecnica utilizza gli oracoli di Bleichenbacher per decrittografare i nonces, il che interrompe l’autenticazione RSA nella fase uno di IKE. Ciò consente agli aggressori di utilizzare chiavi simmetriche autenticate fraudolentemente con il proprio bersaglio. Possono quindi falsificare l’endpoint IPsec, interrompendo la crittografia, che consente loro di inserirsi in quella che in precedenza era una connessione protetta.

Sebbene si tratti di un attacco preoccupante, sono state rilasciate patch per le implementazioni di cui è noto. Huawei, Cisco, Clavister e XyXEL hanno rilasciato tutte le patch subito dopo essere state avvisate della vulnerabilità. È sicuro utilizzare queste implementazioni precedentemente interessate purché aggiornate.

Esistono molte altre potenziali vulnerabilità in IPsec, molte delle quali riguardano IKE. Nonostante questi problemi, IPsec è ancora considerato sicuro per l’uso generale, purché sia ​​stato implementato correttamente e l’implementazione stia utilizzando gli ultimi aggiornamenti.

IPsec stesso non è rotto. È importante ricordare che è solo un framework, che può utilizzare una serie di protocolli diversi. È ancora possibile utilizzare IPsec in modo sicuro, purché i protocolli corretti vengano utilizzati nel modo appropriato. Tuttavia, le configurazioni non sicure potrebbero essere attaccate dall’NSA e da altre parti, quindi è importante utilizzare IPsec correttamente.

Dovresti usare IPsec?

IPsec viene utilizzato principalmente per formare un tunnel sicuro nelle VPN, ma non è l’unica opzione. Se sei preoccupato per la tua sicurezza, è meglio considerare le altre opzioni e trovare una soluzione adatta al tuo caso d’uso e al tuo profilo di rischio.

Le alternative principali sono PPTP, SSTP e OpenVPN. Il protocollo PPTP (Point-to-Point Tunneling Protocol) è vecchio e presenta molti problemi di sicurezza, quindi lo è meglio evitarlo in tutte le circostanze. Il protocollo SSTP (Secure Socket Tunneling Protocol) è un’opzione migliore per gli utenti Windows, tuttavia lo è non sottoposto a revisione indipendente.

OpenVPN è un’alternativa open source che ha una gamma di diverse opzioni di configurazione. Utilizza SSL / TLS e non è noto che abbia problemi di sicurezza, quindi è la scelta migliore per chiunque sia preoccupato per i problemi di sicurezza che sono stati rilevati in IPsec.

Ciò non significa che tutte le connessioni IPsec siano intrinsecamente insicure, significa solo che esistono alternative più sicure per coloro che sono attenti alla sicurezza o che affrontano un alto livello di minaccia.

Relazionato: IPSec vs SSL

Tastiera del computer sotto licenza CC0