IPSec AH + ESP usado juntos

4

Cuando ESP y AH se usan juntos (transporte ESP, transporte AH) en el mismo paquete, ¿ESP encripta el hash de AH, o queda el hash en claro?

Si el hash no está cifrado, obviamente hay implicaciones de seguridad (como el AH no garantiza la integridad de la información autenticada)

Pregunto porque el AH precede al encabezado ESP, y el cifrado ESP en modo de transporte solo se aplica al datagrama TCP / UDP que sigue al encabezado ESP (SPI y secuencia).

Sé que estos no se usan comúnmente juntos. Eso no es relevante. Además, soy consciente de que el modo de túnel ESP admite la autenticación opcional (en un segmento posterior después del cuerpo del mensaje) que tampoco es relevante aquí.

    
pregunta gal 22.04.2013 - 06:48
fuente

1 respuesta

3

Ya mencionaste que el encabezado AH precede al encabezado ESP al aplicar ambos. En consecuencia, el encabezado ESP no tiene ningún efecto sobre el encabezado AH. Pero el encabezado AH se puede usar para proteger el encabezado IP cuando se usa modo de transporte y para proteger el encabezado ESP para ambos modos. Pero esto no es muy común y requiere una Asociación de Seguridad adicional para cada dirección. Por lo tanto, terminarás con 4 SA en lugar de 2 si tienes una conexión bidireccional.

Además, el hash utilizado por AH es un hash criptográfico. No puedes cambiarlo / recalcularlo sin saber la clave.

    
respondido por el scai 22.04.2013 - 08:22
fuente

Lea otras preguntas en las etiquetas