NAT traversal per protocollo IPSec AH

Naviga le tue risposte
1

Ovunque guardassi, ho visto solo la descrizione di NAT traversal per il protocollo ESP (ad esempio: link )

Sembra che l'incapsulamento di AH funzionerà allo stesso modo (come per ESP) in modalità di trasporto, e in modalità tunnel dovrebbe essere aggiunta un'altra intestazione IP (+ UDP) (quindi il numero totale di intestazioni IP è 3).

Ha ragione? C'è un altro problema nel NAT traversal per AH che mi manca?

Modifica L'RFC che risolve questo problema dice che AH non è supportato dall'incapsulamento UDP mentre la bozza dello stesso RFC ha anche una soluzione per l'incapsulamento UDP per il protocollo AH.

    
posta Bush 04.12.2013 - 21:22
fonte

1 risposta

2

AH include l'intestazione IP esterna nel calcolo HMAC, motivo per cui NAT lo rompe. La mia comprensione è che NAT-T non è mai stato espanso per supportare AH perché NAT rompe la protezione dell'intestazione IP esterna.

link "Poiché la protezione degli indirizzi IP esterni in IPsec AH è intrinsecamente incompatibile con NAT, l'IPSec AH è stato escluso dallo scopo di questa specifica del protocollo."

    
risposta data 04.12.2013 - 23:08
fonte

Leggi altre domande sui tag

Quali sono i rischi per la sicurezza di disabilitare il filtro inverso dei percorsi Sempre più utenti usano PGP [chiuso]