Dus de ontwikkelaars waren lui en deden daarom extra werk? Waar slaat dat nou weer op?
Soms is het makkelijker om iets "op de verkeerde plaats" te stoppen, dan om het op de correcte manier te doen. Bv, het is makkelijker om je vuilniszak over het balkon naar beneden te gooien, dan om hem naar beneden te brengen. Je doet nog steeds iets (vuilniszak pakken, naar het balkon brengen, optillen over de rand). Maar het is minder werk dan het zou zijn geweest wanneer je het proper doet.
IPsec hoort in layer-5 of layer-6. Tussen transport en applicatie. Het feit dat de TCP/IP stack geen layer-5 of layer-6 kent, is nog geen reden om het niet zo te ontwerpen.
Als je het filmpje hebt gezien weet je dat innovatie werd geremd door gevestigde bedrijven die krampachtig vasthielden aan het OSI model, iets dat IP/TCP al niet doet.
Ik hoef de woorden van Teus niet te interpreteren. Ik was toen zelf werkzaam in networking (vanaf eind jaren tachtig).
Eerst was er de strijd tussen OSI en TCP/IP. Maar dat heeft niet veel belemmerd. Iedereen die iets met TCP/IP wilde, kon lekker zelf aanrommelen. Sommige bedrijven (cisco) gokten op TCP/IP. Anderen (zoals DEC) gokten op OSI. De ene werd een succes, de andere ging failliet. Soms was er een conflict (Surfnet wilde een OSI netwerk (in due time), de universiteiten wilden diezelfde dag nog een IP-netwerk bouwen). Maar verder was er geen probleem.
De tweede stijd was tussen IPv4 en IPv6. Het was 1990 al duidelijk dat 4 octets niet genoeg zouden zijn. En in 1992-1993 wisten we al dat het net nog flink zou blijven groeien. Toen kwam het IPng (next generation) project. Iedereen kon voorstellen doen voor IP next generation. Korte termijn oplossingen waren CIDR en NAT. Lange termijn werd discussie.
Er kwam een "technologische strijd". Vele partijen doken er in. Ook partijen die de boot hadden gemist met IPv4 versus OSI. Bv ex-DEC mensen. Nortel had 0% marketshare ten opzichte van cisco. Dus de Nortel mensen doken ook op IPv6. En meer. Ook applicatie lui (bv mensen van Sun). De mensen die het echte IPv4-Internet hadden gebouwd, die hadden het druk. Netwerk engineers, cisco developers, etc. Die hadden klanten, die moesten hun netwerken en IPv4-tech scalen van 1 miljoen hosts naar miljarden hosts. Die zeiden vrij snel: "bekijk het maar met je flauwekul. als je niet begript wat we zeggen, en toch niet wilt luisteren, dan zijn we weg".
Het resultaat was dat IPv6 ontworpen is door mensen die verstand van applicaties hadden. Niet door networking-people. IPv6 is *precies* hetzelfde is als IPv4. Het enige verschil is dat je 128 bits vs 32 bits hebt. Er is geen fix voor site-multi-homing. Niks voor host-multi-homing. Geen makkelijkere address-assignment (geen in-site mobility). Geen global mobility. Geen makkelijkere site-renumbering. Geen locator-identifier separation. Noem maar op. Enkel 96 bits extra. Een gemiste kans.
Het resultaat spreekt voor zich: niemand ziet enig voordeel van IPv6 voor zichzelf. Niemand heeft een business-case om te upgraden.
Nu iets over lagen. IPSec is sws geen onderdeel van de netwerklaag en ook niet als zodanig geïmplementeerd.
Daar heb je allemaal gelijk in.
Maar feit is dat IPsec niet echt een succes is geworden. Ergens is iets mis gegaan.
TCP heeft GEEN next-header field, zodat we nu voor allerlei protocollen twee poorten nodig hebben (http:80, https:443, enzovoort). Als we IPSec en TLS nu beschouwen als "de encryptielaag" (die helemaal niet bestaat in het OSI model!) is IPSec dus eleganter:
Er is TCPv4 en TCPv6.
Toen IPv6, IPsec en TCPv6 werd gespecifeerd, hadden ze makkelijk IPsec "binnen" TCPv6 kunnen specificeren. Dat is niet gedaan. Nogmaals, ik denk omdat het makkelijker was om het in layer-3 te steken, dan in een layer boven layer-4.
Er is geen encryptielaag. Maar wel een session-layer (layer 5). Encryptie hoort daar logisch gezien thuis, imho.
• het os is verantwoordelijk voor beveiliging, lekker makkelijk voor applicaties
Kijk, daar gaan we. Lekker makkelijk. Van mij mag het OS verantwoordelijk zijn, helemaal mee eens. Dat betekent dat de data uit een socket komt naar de applicatie. Maar waar het OS en de network layers en driver de encryptie steken, maakt dan niks uit voor de applicatie software. En dan hoort encryptie in de session layer.
De echte vraag die we ons moeten stellen is dus niet hoe we IPSec in het OSI model kunnen passen maar WAAR we onze encryptie WILLEN toepassen. Ik ben er persoonlijk nog niet helemaal uit, maar hoop wel dat IPSec wat populairder wordt.
Ik ben er ook niet uit. Ik denk dat de session-layer beter is. Maar een ding weet ik wel: niet tussen de network-layer en de transport-layer.
[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:51]