Quando uso la modalità tunnel IPsec o la modalità di trasporto?

Da Cisco: link

Tunnel mode is most commonly used between gateways, or at an end-station to a gateway, the gateway acting as a proxy for the hosts behind it.

Transport mode is used between end-stations or between an end-station and a gateway, if the gateway is being treated as a host—for example, an encrypted Telnet session from a workstation to a router, in which the router is the actual destination.

Quindi quali sono le differenze:

La modalità tunnel protegge qualsiasi informazione di routing interna crittografando l'intestazione IP del pacchetto INTERO. Il pacchetto originale è incapsulato da un altro set di intestazioni IP.

• NAT traversal è supportato con la modalità tunnel.
• Ulteriori intestazioni vengono aggiunte al pacchetto; quindi c'è meno payload MSS

La modalità di trasporto crittografa il payload e il trailer ESP SOLO . Intestazione IP del pacchetto originale non crittografato.

• La modalità di trasporto è implementata per scenari VPN da client a sito.
• NAT traversal NON supportato con la modalità di trasporto.
• MSS è più alto

La modalità di trasporto è di solito con altri protocolli di tunneling (GRE, L2TP) che vengono utilizzati per incapsulare il pacchetto di dati IP, quindi IPsec viene utilizzato per proteggere i pacchetti del tunnel GRE / L2TP.

A CURA:

Ecco una lettura dettagliata delle differenze da Microsoft: link

Per approfondire la risposta di Milen, se non ci sono problemi di routing, la modalità di trasporto è certamente fattibile se si tratta di 2 gateway che parlano tra loro o di 2 host che parlano tra loro (non eseguendo IPsec).

Ad esempio, se avessi 2 server DMZ pubblici che comunicano via Telnet su Internet l'uno con l'altro, e più in profondità nella rete sono stati utilizzati 2 router IPsec per crittografare quel traffico specifico. In questo caso, la modalità di trasporto andrebbe bene, poiché tutte le parti hanno IP pubblici sulle loro interfacce:

DMZhost-A > > IPSECrouter-A > > INTERNET > > IPSECrouter-B > > DMZhost-B

Ciò consente all'ISP di classificare i pacchetti in base ai dati "Next Header" del pacchetto IP, che verrebbero visualizzati come TCP. Tuttavia, la porta TCP sarebbe nascosta all'interno della porzione crittografata del pacchetto (l'intestazione TCP effettiva).

In questo senso, il pacchetto è vulnerabile all'analisi degli hacker, dal momento che almeno saprebbe che si tratta di una sorta di sessione TCP e inoltre avrebbe gli IP reali dei server DMZ.

In IPSec transport mode, only the IP payload is encrypted, and the original IP headers are left intact. It also allows devices on the public network to see the final source and destination of the packet. With this capability, you can enable special processing in the intermediate network based on the information in the IP header. However, the Layer 4 header will be encrypted, limiting the examination of the packet. Unfortunately, by passing the IP header in the clear, transport mode allows an attacker to perform some traffic analysis.

Fonte: Cisco

Avendo citato questo, questo non è quasi mai il caso - il payload sottostante è molto spesso un protocollo di tunneling (ad esempio L2TP in caso di Windows o client mobili, potrebbe essere GRE), quindi in termini di networking moderni ci sono fattori "attenuanti" contro l'analisi del traffico in modalità di trasporto.