Qual è la differenza tra la modalità tunnel e la modalità di trasporto in IPSec? [duplicare]

0

In modalità tunnel, tutto il datagramma IP incluso l'header IP viene crittografato e la nuova intestazione IP viene aggiunta al pacchetto. Ma in modalità di trasporto l'intestazione IP non è inclusa nella crittografia e mantenuta così com'è. Si dice che la modalità tunnel fornisce maggiore segretezza in quanto le informazioni di routing (fonte, indirizzi di destinazione) sono nascoste (crittografate). Ma la mia confusione è, che differenza fa quando il gateway IPSec (nel mio IPSec è abilitato al router) sta comunque andando a modificare l'intestazione IP per lo scopo NATing?

    
posta techiek7 13.12.2016 - 11:03
fonte

1 risposta

0

Senza Traversal NAT IKE

Se esegui il tunnel, è possibile passare attraverso il NAT con un'intestazione esterna che viene modificata ma rilasciata durante la decapsulazione. L'intestazione interna rimane esattamente la stessa di quando era incapsulata ed era protetta da ESP. Questo è descritto in rfc 3715 4.1 .

Se si utilizza la modalità di trasporto, si desidera utilizzare la stessa intestazione IP modificata da NAT. Questo non è possibile mentre si controlla l'integrità in quanto si tratta di una violazione di integrità come definito per AH.

Con Traversal NAT IKE

Se Traversal è configurato, il traffico sembra essere sulle porte UDP (500 o 4500). L'attraversamento gestisce il problema di integrità dell'intestazione del trasporto sostituendo gli IP originali. Di conseguenza, entrambe le modalità dovrebbero sembrare più o meno le stesse, ma il tunnel ha un overhead di dimensioni di mantenere una vera intestazione e il trasporto ha più manipolazione per ricostruire un'intestazione, quindi un maggior potenziale di errori di controllo dell'integrità.

Ad esempio, un'opzione IP insolita può essere gestita ordinatamente in modo nascosto dal NAT in modalità tunnel, mentre potrebbe causare problemi di compatibilità sul routing del pacchetto.

    
risposta data 13.12.2016 - 16:00
fonte

Leggi altre domande sui tag