¿Cómo puede IPSec proporcionar confidencialidad entre dos hosts en redes privadas?

4

¿Puede usar el modo de transporte con procesamiento IPsec para proporcionar confidencialidad entre dos hosts en redes IP privadas geográficamente separadas?

He leído en alguna parte que el modo de transporte es el modo predeterminado que se usa para proporcionar confidencialidad de extremo a extremo mediante el procesamiento de IPsec, lo que tiene sentido cuando los dos hosts finales tienen direcciones IP públicas.

¿Pero qué pasa si los hosts finales tienen direcciones IP privadas? Seguramente el "uso de transporte para extremo a extremo" no se aplica en este caso, ya que los paquetes IP privados de la red privada X se canalizan a la red privada Y?

Estoy muy confundido. Mi pregunta es ...

¿Cómo se puede usar IPsec para proporcionar confidencialidad para las comunicaciones entre dos hosts A y B en redes IP privadas geográficamente separadas

    
pregunta ellefc 12.05.2016 - 17:53
fuente

2 respuestas

1

Expliquemos los dos modos, en qué se diferencian, y despejemos el aire:

Modo de túnel:

  1. Protege la información de enrutamiento interno cifrando el encabezado IP de el paquete original El paquete original está encapsulado por otro conjunto de encabezados de IP.
  2. Permite el cruce de NAT

Modo de transporte:

  1. El modo de transporte cifra solo la carga útil y el remolque de ESP
  2. NAT transversal no es compatible con el modo de transporte.

Luego está GRE / L2TP para la tunelización. Pero aclaremos a qué te refieres con confidencialidad. En el número 3, notará el término en negrita solo la carga útil , lo que significa que su DATOS es confidencial. No su información de conexión. ¿Así que define a qué te refieres con confidencialidad? ¿Es la confidencialidad de la conexión o la confidencialidad de los datos? Dos cosas separadas para pensar en ello. Si está confundido, sugiero leer " Descripción del modo de túnel IPSEC " A menos que aclare qué quiere decir con "confidencialidad" las respuestas que reciba pueden variar.

    
respondido por el munkeyoto 12.05.2016 - 18:12
fuente
1

En el modo de túnel VPN, IPSec se puede usar para unir varias redes, cada una con sus propias IP privadas en una sola red virtual.

Sin embargo, necesitará una puerta de enlace con una dirección IP pública, de modo que el remitente sepa cómo enrutar los paquetes cifrados a los sistemas que se encuentran en una red física diferente.

En el modo VPN, cada paquete tiene dos direcciones de destino. Una es la dirección de destino pública (la dirección de la puerta de enlace), que se usa para enrutar en la red pública, y la segunda dirección de destino es la dirección IP privada, que se usa para enrutar dentro de la red privada virtual. Las puertas de enlace deben tener una dirección IP pública para permitir que los paquetes se enruten a la puerta de enlace a través de una red pública, pero las máquinas de destino individuales no tienen que tener una dirección IP pública individual.

La puerta de enlace también puede necesitar traducir direcciones entre varias direcciones IP privadas (NAT). Esto puede ser necesario si sus redes privadas tienen direcciones que se superponen. La configuración más sencilla es si realmente no tiene ninguna intersección en el espacio de nombres de direcciones IP privadas entre las diferentes redes físicas, entonces los sistemas solo pueden enviarse paquetes utilizando sus direcciones IP privadas directamente.

    
respondido por el Lie Ryan 12.05.2016 - 18:19
fuente

Lea otras preguntas en las etiquetas