Capisco che non è possibile avere l'intestazione di autenticazione con un NAT normale, perché mette a disagio l'intestazione IP protetta da AH. E i proxy? Cambiano qualcosa nel pacchetto?
Sarebbe possibile utilizzare AH in modalità di trasporto su un canale IPSec tra i proxy?
"Proxy" è un termine generico. Se si intende un proxy Web , tale tipo opera normalmente a livello di "dati dell'applicazione": il sistema client apre una connessione TCP al proxy e il proxy apre un'altra connessione al server di destinazione (o prossimo proxy in caso di concatenamento). Il proxy inoltra i dati avanti e indietro, ma senza intestazione IP. Per definizione, IPSec si arresta al proxy. Un proxy Web non "modifica" i pacchetti, li mangia interi; e quindi può inviare nuovamente il contenuto del pacchetto, riassemblato e diviso nuovamente, come pacchetti IP nuovi di zecca non correlati ai precedenti.
È possibile utilizzare IPSec per proteggere le comunicazioni tra il sistema client e il proxy. È possibile utilizzare IPSec per proteggere le comunicazioni tra due proxy. Ma IPSec non ti darà mai alcuna garanzia che i dati non siano stati modificati dal proxy; solo che non è stato modificato in transito tra il client e il proxy e / o tra i due proxy.
In effetti, i proxy sono, per definizione , destinati a modificare i dati, ad es. rispondendo alla richiesta stessa con una copia di una risposta precedente, senza parlare con il server attuale. Questo è di design .
Leggi altre domande sui tag authentication proxy ipsec