Quando uso la modalità tunnel IPsec o la modalità di trasporto?

11

Fondamentalmente capisco come funzionano la modalità tunnel e la modalità di trasporto, ma non so quando dovrei usarne una invece di un'altra.

Tra le due parti che vogliono comunicare, se un computer B non comprende IPsec, penso che debbano usare la modalità tunnel, che mette l'IP originale e il payload in ESP e consegna il pacchetto a un dispositivo vicino a B che sa IPsec e tale dispositivo decrittografa il pacchetto e invia il pacchetto decrittografato al computer B.

Ma cosa succede se i due computer sanno entrambi IPsec, posso usare la modalità di trasporto? Vari articoli menzionano che se due computer sono in una intranet, usa il trasporto; se sono in reti diverse, utilizzare tunnel. Perché? Se due computer sono in reti diverse e viene utilizzata la modalità di trasporto, quale problema si verificherà?

(Cerca di non menzionare AH e il cosiddetto gateway di sicurezza, non so cosa siano.)

    
posta Gqqnbig 18.12.2014 - 03:58
fonte

3 risposte

8

Da Cisco: link

Tunnel mode is most commonly used between gateways, or at an end-station to a gateway, the gateway acting as a proxy for the hosts behind it.

Transport mode is used between end-stations or between an end-station and a gateway, if the gateway is being treated as a host—for example, an encrypted Telnet session from a workstation to a router, in which the router is the actual destination.

Quindi quali sono le differenze:

La modalità tunnel protegge qualsiasi informazione di routing interna crittografando l'intestazione IP del pacchetto INTERO. Il pacchetto originale è incapsulato da un altro set di intestazioni IP.

  • NAT traversal è supportato con la modalità tunnel.
  • Ulteriori intestazioni vengono aggiunte al pacchetto; quindi c'è meno payload MSS

La modalità di trasporto crittografa il payload e il trailer ESP SOLO . Intestazione IP del pacchetto originale non crittografato.

  • La modalità di trasporto è implementata per scenari VPN da client a sito.
  • NAT traversal NON supportato con la modalità di trasporto.
  • MSS è più alto

La modalità di trasporto è di solito con altri protocolli di tunneling (GRE, L2TP) che vengono utilizzati per incapsulare il pacchetto di dati IP, quindi IPsec viene utilizzato per proteggere i pacchetti del tunnel GRE / L2TP.

A CURA:

Ecco una lettura dettagliata delle differenze da Microsoft: link

    
risposta data 18.12.2014 - 04:11
fonte
1

Per approfondire la risposta di Milen, se non ci sono problemi di routing, la modalità di trasporto è certamente fattibile se si tratta di 2 gateway che parlano tra loro o di 2 host che parlano tra loro (non eseguendo IPsec).

Ad esempio, se avessi 2 server DMZ pubblici che comunicano via Telnet su Internet l'uno con l'altro, e più in profondità nella rete sono stati utilizzati 2 router IPsec per crittografare quel traffico specifico. In questo caso, la modalità di trasporto andrebbe bene, poiché tutte le parti hanno IP pubblici sulle loro interfacce:

DMZhost-A > > IPSECrouter-A > > INTERNET > > IPSECrouter-B > > DMZhost-B

Ciò consente all'ISP di classificare i pacchetti in base ai dati "Next Header" del pacchetto IP, che verrebbero visualizzati come TCP. Tuttavia, la porta TCP sarebbe nascosta all'interno della porzione crittografata del pacchetto (l'intestazione TCP effettiva).

In questo senso, il pacchetto è vulnerabile all'analisi degli hacker, dal momento che almeno saprebbe che si tratta di una sorta di sessione TCP e inoltre avrebbe gli IP reali dei server DMZ.

    
risposta data 29.01.2016 - 16:05
fonte
0

In IPSec transport mode, only the IP payload is encrypted, and the original IP headers are left intact. It also allows devices on the public network to see the final source and destination of the packet. With this capability, you can enable special processing in the intermediate network based on the information in the IP header. However, the Layer 4 header will be encrypted, limiting the examination of the packet. Unfortunately, by passing the IP header in the clear, transport mode allows an attacker to perform some traffic analysis.

Fonte: Cisco

Avendo citato questo, questo non è quasi mai il caso - il payload sottostante è molto spesso un protocollo di tunneling (ad esempio L2TP in caso di Windows o client mobili, potrebbe essere GRE), quindi in termini di networking moderni ci sono fattori "attenuanti" contro l'analisi del traffico in modalità di trasporto.

    
risposta data 19.12.2014 - 08:19
fonte

Leggi altre domande sui tag