¿Hay algún uso en el mundo real de modos IPsec que no sea el túnel ESP?

4

Modo de túnel ESP (encapsulado en UDP para que pueda atravesar IPv4 NAT) se utiliza como la bloque de construcción básico de la mayoría de las VPN modernas que he usado y estudiado. En él, los paquetes están cifrados y autenticados para que ni los encabezados ni la carga útil puedan ser inspeccionados o alterados en tránsito.

Los estándares IPsec ( RFC4301 etc.) también definen otros modos de operación, que ofrecen solo un subconjunto de finalización encriptación y autenticación de extremo a extremo:

  • Modo de transporte ESP, en el que los encabezados y la información de enrutamiento se dejan intactos, pero las cargas útiles de los paquetes aún están cifradas
  • Encabezados de autenticación (AH) en los que no hay cifrado en absoluto, pero los encabezados se autentican para que no puedan modificarse sin ser detectados.

Lo que me pregunto es si existe un uso significativo en el mundo real de estos modos de IPsec no cifrados y autenticados, a partir de 2017.

¿Existen aplicaciones actuales o históricas que realmente se benefician de la transparencia parcial del tráfico transportado?

¿Algún software específico o de código abierto que pueda ser citado?

    
pregunta Dan Lenski 16.01.2017 - 10:18
fuente

1 respuesta

4

El modo ESP / túnel se usa a menudo cuando desea conectar dos redes POP diferentes: básicamente está implementando una red completa y una capa de enrutamiento sobre una capa de encriptación, y las redes no tienen conocimiento de que hayan cruzado una Red pública (como internet). Cuando simplemente desea cifrar todo entre dos puntos finales sin una capa de enrutamiento (generalmente cuando esos dos puntos finales quieren comunicarse entre sí, pero no las redes detrás de ellos), es una carga crear una capa de enrutamiento adicional.

El modo de transporte se usa todo el tiempo entre dos puntos finales cuando no se requiere un túnel completo con enrutamiento y red separados. Esto es algo similar a cuando creas una conexión TLS entre tu computadora y un sitio web; no le importa que alguien pueda ver el tráfico entre ustedes dos, pero sí lo quiere cifrado.

El modo de transporte es aproximadamente el equivalente a una conexión TLS con el sitio web de su banco, mientras que el modo de túnel es aproximadamente el equivalente a usar un cliente VPN para conectarse a la red interna de su empleador. Hay excepciones, por supuesto, pero esa es la esencia general de esto.

Ejemplo: supongamos que tiene dos máquinas con IP públicas y desea que se realicen llamadas RPC entre sí. Obviamente, no desea que se comuniquen a través de Internet sin cifrado ni autenticación. Puede hacerlo a través de TLS (capa 7), pero también puede hacerlo a través del transporte IPsec (capa 4), ya que elimina la carga de cifrado en cualquier software que esté utilizando; esto es especialmente importante si ese software no comprende TLS en absoluto. Con el modo de transporte, todo entre las dos máquinas está encriptado, desde solicitudes de ping hasta telnet o cualquier tráfico aleatorio que se abra entre las dos.

Ahora PODRÍA hacer esto a través de un túnel ESP, pero 1) requiere que todo su software esté al tanto de los nuevos puntos finales de enrutamiento, IP y puertas de enlace, en lugar de las IP públicas que ya existen y 2) es menos eficiente, ya que ahora tiene el tráfico cifrado más la sobrecarga adicional del túnel.

En cuanto a AH, rara vez lo he visto implementado, ya que su propósito principal es verificar que las cargas útiles lleguen sin cambios desde la fuente. Las situaciones en las que le interesa la verificación, pero no el cifrado, son bastante pequeñas y, por lo general, están mejor servidas con el cifrado completo, pero los lugares teóricos en los que se usaría incluirían elementos como virus o malware inyectados por terceros en tránsito, pero donde el cifrado completo podría ser demasiado costoso para el hardware en la mano. Nuevamente, estas son aplicaciones muy específicas.

    
respondido por el lidocaineus 17.01.2017 - 20:29
fuente

Lea otras preguntas en las etiquetas