IPsec: ¿Está AH en modo túnel seguro?

4

Tengo una VPN IPsec de sitio a sitio que tenía un bajo rendimiento (10 -20% de velocidad de carga / descarga como porcentaje del ancho de banda del circuito WAN disponible) cuando uso ESP en modo túnel con cifrado DES y autenticación MD5. Después de cambiar el Protocolo Activo a AH aún en modo túnel, pero ahora usando SHA-256 para la Autenticación, veo un triple aumento en el rendimiento en la VPN. Creo que el AH tiene una sobrecarga mucho menor gracias a que no se realiza ningún cifrado en los paquetes. Pero, ¿no se están cifrando los datos de forma inherente ya que están en modo túnel?

La pregunta real se reduce a: " ¿Mis datos aún están seguros en el modo AH? " Si es así, este aumento del rendimiento es maravilloso y me gustaría mantener la configuración de mi punto final de esta manera. Si no, obviamente no vale la pena y necesito volver al protocolo ESP anterior.

Las pasarelas son Zyxel Zywall USG 200 en sitios con una distancia de 3000 millas. Gracias de antemano por su tiempo.

    
pregunta Tedwin 15.03.2015 - 22:20
fuente

1 respuesta

5

No es "secreto", pero es "a prueba de manipulaciones". Es posible que no cumpla con su definición de "seguro".

Sus datos ya no son confidenciales si solo se usa AH; cualquiera que capture paquetes puede leer sus datos porque no están cifrados. Está protegido contra la modificación, sin embargo; AH garantiza que la manipulación de datos se detectará y se descartará.

AH no "encripta inherentemente"; un "túnel" no implica cifrado, aunque a menudo, si las personas usan túneles, lo hacen principalmente para que puedan usar el cifrado.

Es posible que desee leer algunas descripciones de alto nivel:

  • AH garantiza la integridad sin conexión y la autenticación del origen de los datos de paquetes IP
  • ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de paquetes
respondido por el gowenfawr 15.03.2015 - 22:33
fuente

Lea otras preguntas en las etiquetas