Esiste un uso reale delle modalità IPsec oltre al tunnel ESP?

4

La modalità tunnel ESP (incapsulata in UDP in modo che possa attraversare il NAT IPv4) viene utilizzata come base elementare della maggior parte delle moderne VPN che ho usato e studiato. In esso, i pacchetti vengono crittografati e autenticati in modo che né le intestazioni né il carico utile possano essere ispezionati o modificati durante il trasporto.

Gli standard IPsec ( RFC4301 ecc.) definiscono anche diverse altre modalità di funzionamento, che offrono solo un sottoinsieme di fine crittografia e autenticazione da-a-end:

  • Modalità di trasporto ESP, in cui le intestazioni e le informazioni di routing vengono lasciate intatte ma i payload dei pacchetti sono ancora crittografati
  • Intestazioni di autenticazione (AH) in cui non esiste alcuna crittografia, ma le intestazioni sono autenticate in modo che non possano essere alterate senza rilevamento.

Quello che mi chiedo è se ci sia un uso significativo del mondo reale di queste modalità IPsec crittografate e autenticate al 100%.

Esistono applicazioni correnti o storiche che beneficiano effettivamente della parziale trasparenza del traffico trasportato?

Qualche software proprietario o open source che potrebbe essere citato?

    
posta Dan Lenski 16.01.2017 - 10:18
fonte

1 risposta

4

La modalità ESP / tunnel viene spesso utilizzata quando si desidera collegare due reti di POP differenti: si implementa fondamentalmente un intero livello di rete e di routing su un livello di crittografia e le reti non hanno conoscenza sufficiente per attraversare un rete pubblica (come internet). Quando si desidera semplicemente crittografare qualsiasi cosa tra due endpoint senza un layer di routing (di solito quando quei due endpoint vogliono parlare tra loro, ma non le reti dietro di loro) è oneroso creare un ulteriore strato di routing.

La modalità di trasporto viene utilizzata sempre tra due endpoint quando non è richiesto un tunnel completo con instradamento e rete separati. Questo è in qualche modo analogo a quando si crea una connessione TLS tra il computer e un sito Web; non ti interessa che qualcuno possa vedere il traffico tra voi due, ma lo volete crittografato.

La modalità di trasporto è approssimativamente l'equivalente di una connessione TLS al sito web della tua banca, mentre la modalità tunnel è approssimativamente l'equivalente di utilizzare un client VPN per connettersi alla rete interna del tuo datore di lavoro. Ci sono delle eccezioni, naturalmente, ma questo è il senso generale di ciò.

Esempio: dì che hai due macchine con IP pubblici e vuoi che facciano chiamate RPC l'una all'altra. Ovviamente non vuoi che comunichino su Internet senza crittografia o autenticazione. Puoi farlo tramite TLS (livello 7), ma puoi farlo tramite il trasporto IPsec (livello 4), in quanto rimuove l'onere della crittografia su qualsiasi software che stai utilizzando; questo è particolarmente importante se quel software non ha alcuna comprensione di TLS. Con la modalità di trasporto, tutto tra le due macchine viene crittografato, dalle richieste ping a telnet a qualsiasi traffico casuale aperto tra i due.

Ora POTREI fare questo su un tunnel ESP, ma 1) questo richiede che tutto il tuo software sia a conoscenza dei nuovi endpoint di routing, IP e gateway, piuttosto che gli IP pubblici già esistenti e 2) sia meno efficiente, come ora hai il traffico crittografato più l'overhead del tunnel aggiuntivo.

Come per AH, raramente l'ho visto implementato, poiché il suo scopo principale è verificare che tutti i payload arrivino immutati dalla sorgente. Le situazioni in cui ti interessa la verifica, ma non la crittografia, sono abbastanza piccole e spesso meglio servite con crittografia completa, ma i posti teorici in cui verrebbero utilizzati includeranno cose come l'anti-virus / malware che viene iniettato da terze parti in transito ma dove la crittografia completa potrebbe essere troppo costoso per l'hardware a portata di mano. Di nuovo, queste sono applicazioni di nicchia.

    
risposta data 17.01.2017 - 20:29
fonte

Leggi altre domande sui tag