In che modo IPSec può garantire la riservatezza tra due host su reti private?

3

È possibile utilizzare la modalità di trasporto con l'elaborazione IPsec per garantire la riservatezza tra due host in reti IP private geograficamente separate?

Ho letto da qualche parte che la modalità di trasporto è la modalità predefinita da utilizzare per fornire riservatezza end-to-end utilizzando l'elaborazione IPsec che ha senso quando i due host finali hanno indirizzi IP pubblici.

Ma cosa succede se gli host finali hanno indirizzi IP privati? Sicuramente il "use transport for end to end" non si applica in questo caso in quanto i pacchetti IP privati dalla rete privata X sono collegati a una rete privata Y?

Sono molto confuso. La mia domanda è ...

come si può usare IPsec fornire riservatezza per le comunicazioni tra due host A e B in reti IP private geograficamente separate

    
posta ellefc 12.05.2016 - 17:53
fonte

2 risposte

1

Spieghiamo le due modalità, in che modo differiscono e chiariamo l'aria:

Modalità tunnel:

  1. Protegge le informazioni di routing interno crittografando l'intestazione IP di il pacchetto originale. Il pacchetto originale è incapsulato da un altro set di intestazioni IP.
  2. Consente NAT traversal

Modalità di trasporto:

  1. La modalità di trasporto crittografa solo il payload e il trailer ESP
  2. NAT traversal non è supportato con la modalità di trasporto.

Poi c'è GRE / L2TP per il tunneling. Ma chiariamo cosa intendi per riservatezza. Al n. 3, noterai il termine in grassetto solo il payload che significa che i tuoi DATI sono riservati. Non le informazioni di connessione. Quindi definire cosa intendi per riservatezza? È la riservatezza della connessione o la riservatezza dei dati? Due cose distinte a cui pensare. Se sei confuso, ti suggerisco di leggere " Capire la modalità Tunnel IPSEC " A meno che tu chiarisci cosa intendi per "riservatezza", le risposte che ottieni possono variare.

    
risposta data 12.05.2016 - 18:12
fonte
1

In modalità tunneling VPN, IPSec può essere utilizzato per unire più reti, ciascuna con i propri IP privati in una singola rete virtuale.

Tuttavia, è necessario un gateway con indirizzo IP pubblico, in modo che il mittente sappia come instradare i pacchetti crittografati ai sistemi che si trovano su una rete fisica diversa.

In modalità VPN, ogni pacchetto ha due indirizzi di destinazione. Uno è l'indirizzo di destinazione pubblico (l'indirizzo gateway), utilizzato per il routing nella rete pubblica e il secondo indirizzo di destinazione è l'indirizzo IP privato, utilizzato per il routing all'interno della rete privata virtuale. I gateway devono disporre di un indirizzo IP pubblico per consentire il routing dei pacchetti al gateway sulla rete pubblica, ma le singole macchine di destinazione non devono avere un singolo indirizzo IP pubblico.

Il gateway potrebbe anche aver bisogno di tradurre gli indirizzi tra più indirizzi IP privati (NAT). Questo potrebbe essere necessario se le tue reti private hanno indirizzi sovrapposti. La configurazione più semplice è che se non si hanno effettivamente intersezioni nello spazio dei nomi degli indirizzi IP privati tra le diverse reti fisiche, i sistemi possono semplicemente inviare pacchetti tra loro usando direttamente i loro indirizzi IP privati.

    
risposta data 12.05.2016 - 18:19
fonte

Leggi altre domande sui tag