Crittografia delle intestazioni nella modalità tunnel IPsec

Non è che l'intestazione abbia sia crittografata in modalità tunnel; piuttosto, se l'intestazione non è crittografata, non è in realtà un tunnel.

La modalità Tunnel riguarda il fatto di avere due router collegati insieme a un tunnel crittografato. Si scambiano pacchetti per altri host. Schematicamente, il router A è il router di uscita per la rete netA e il router B è il router di uscita per la rete netB. A e B eseguono un tunnel IPSec. Ogni volta che una macchina nella rete netA vuole inviare un pacchetto a una macchina nella rete netB, allora quella macchina invia il pacchetto al suo router di uscita, cioè il router A. Il router A invia il pacchetto al router B all'interno del tunnel . Il router B riceve il pacchetto crittografato, ma lo decrittografa alla ricezione e scopre per quale macchina in netB deve essere inviato il pacchetto. Il router B procede all'invio del pacchetto alla macchina di destinazione finale.

Con il tunnel:

• Le macchine di origine e di destinazione che parlano tra loro non devono essere a conoscenza di IPSec; solo i due router alle due estremità del tunnel.
• Gli intercettatori sul collegamento tra i router A e B (ovvero le "persone cattive su Internet") vedono solo i dati crittografati e non sanno nemmeno quale macchina sta parlando a ogni macchina, poiché l'intero pacchetto è crittografato, inclusa l'intestazione. / li>

Se utilizzato in modalità tunnel IPsec tratta il pacchetto IP come un carico utile. Pertanto, tutte queste informazioni sono crittografate. Per essere instradati correttamente, l'entità abilitata IPSec quindi crea un nuovo pacchetto.

Questo pacchetto IP è stato creato per essere inviato alla fine del tunnel, ad es. un altro gateway IPSec. Per ottenere ciò, il nuovo pacchetto IP avrà una nuovissima intestazione IP, con l'IP di destinazione impostato su questo particolare indirizzo di apparecchiatura. Il resto del pacchetto conterrà i dati ESP tradizionali composti da un'intestazione, un carico utile (il pacchetto originale) e dati di autenticazione.

Ecco uno schema del pacchetto ed è incapsulato in un pacchetto IPSec in modalità tunnel:

                         +--------------------+----------------------------+
                         | Original IP-Header | Encapsulated protocol data |
                         +--------------------+----------------------------+
                         |                                                 |
                         |                                                 |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
| IP-Header | ESP Header | Original IP-Header | Encapsulated protocol data | ESP Trailer | Authentication data |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
                         |<--------------------------Encrypted-------------------------->|
            |<---------------------------------------Authenticated---------------------->|

L'interesse principale della modalità tunnel è proteggere gli indirizzi (interni) di una rete. Puoi prendere come esempio un'azienda con due uffici separati da X chilometri. Due gateway IPSec sono configurati e tutto il traffico da una rete all'altra è incapsulato nel tunnel IPSec. L'unica cosa visibile da un estraneo è che i due gateway comunicano tra loro usando il protocollo IPSec. Ciò che è interno potrebbe essere qualsiasi tipo di comunicazione.

Il pacchetto IPSec seguirà comunque le regole del routing Internet.

Prima ci sono due protocolli per i servizi IPSec.

AH: (intestazione dell'autenticazione) e ESP: (incapsulamento del carico utile di sicurezza)

AH fornisce solo il controllo integrato, quindi non c'è crittografia nel Payload. Quindi, presumo che ti stavi riferendo al protocollo ESP.

Ecco la risposta:

1. Un nuovo IP esterno insieme all'intestazione ESP, IV (se esplicito), pacchetto originale + padding e ICV per formare un nuovo pacchetto.
   L'intero pacchetto originale più il campo padding sono crittografati e incapsulati, quindi nessun router lungo il percorso è in grado di esaminare l'intestazione IP interna.

2. Il pacchetto sta eseguendo il routing utilizzando l'intestazione IP esterna che non è crittografata.

Ad esempio, l'host A desidera inviare un pacchetto IP all'host B e richiede IPSec e entrambi i firewall hanno capacità IPSec, quindi il firewall di A esaminerà e incapsulerà il pacchetto con un'intestazione IP esterna con l'indirizzo di destinazione del firewall di B. Il pacchetto viene quindi inviato al firewall di B con i router intermedi che esaminano solo l'intestazione IP esterna. Quando raggiunge il firewall di B, l'intestazione IP esterna, l'intestazione ESP, il padding, ICV vengono tutti rimossi, il pacchetto interno viene decrittografato e inviato a B.

Diciamo che il router A e il router B hanno impostato il tunnel. Router Una subnet IP Lan è x.x.x.0 / 24 e l'ip sull'interfaccia esterna del router A è y.y.y.y che è la stessa interfaccia in cui viene applicata la mappa crittografica. Sul Router B diciamo che la sua subnet IP Lan è d.d.d.0 / 24 e l'ip sull'interfaccia esterna è g.g.g.g.g allora esp crittograferà tutto ciò che viene avviato dal traffico proveniente dalla subnet x.x.x.0 alla subnet d.d.d.0 lasciando l'interfaccia y.y.y.y con y.y.y.y e g.g.g.g.g. Pertanto sarà in grado di prendere una decisione di routing.