IPSec kann speziell konfiguriert werden. So kann man durch
explizites Routing je nach Bedarf Verbindungen
mit IPSec bzw. auch Verbindungen ohne IPSec aufbauen.
Dadurch verhindert man unnötigen Overhead bei Verbindungen, die nicht
explizit geschützt werden müssen.
Nach Möglichkeit sollte man aber davon absehen, nur
Sicherheitsrelevante Daten zu sichern, da ein potentieller
Angreifer hier schon evtl. wichtige von unwichtigen Daten selektieren kann.
Die FreeS/WAN-IPSec-Implementation für Linux wurde von Robert J Gautier auf ihre Performance hin untersucht [#!Gaut99!#]. Dabei wurden u.a. jeweils die Zeitdauer von einem ping-Kommando und einem ftp-Einsatz gemessen. Es wurde ein Durchsatz von 14 Prozent bis zu 85 Prozent im Vergleich zu nicht verschlüsselten Netzverkehr beobachtet.
14%: 486DX/50 mit einer 10Mbit/s Anbindung 85%: 486DX/50 mit einer 64kbit/s Anbindung
Der ping-Test im Einsatz mit einem 10Mbit/s twisted pair Ethernet, einem 486DX2/50, einem AMD K6/233 und einem Cyrix MII/333+ Prozessor ergab:
To/From Mode 56 1000 2000 5000 Bytes
MII/333+, K6/233 Clear 0,4 2,3 4,0 9,2
IPSec 1,2 6,6 10,8 18,6
33% 35% 37% 49%
To/From Mode 56 1000 2000 5000 Bytes
MII/333+, 486DX2/50 Clear 1,5 4,2 6,9 13,0
IPSec 5,3 22,6 41,6 93,5
28% 18% 17% 14%
Ein zusätzlicher Schutz bedeutet immer zusätzlichen Aufwand,
den es einzuschätzen gilt.
Ein End-zu-End Ansatz hat dabei einen sehr großen Anstieg des
Aufwandes zur Folge.
Allgemein benötigt eine Änderung in der Vermittlungsschicht einen längeren Zeitraum.
Es muß eine Anpassung aller Endsysteme erfolgen und zudem müssen die
einzelnen Verbindungen sorgfältig verwaltet werden.