NAT transversal para el protocolo IPsec AH

Navega tus respuestas
1

Dondequiera que miré, solo vi la descripción de NAT transversal para el protocolo ESP (por ejemplo: enlace )

Parece que la encapsulación de AH funcionará de la misma manera (como para ESP) en el modo de transporte, y en el modo de túnel se debe agregar otro nuevo encabezado de IP (+ UDP) (por lo que el número total de encabezados de IP es 3).

¿Está bien? ¿Hay otro problema en NAT transversal para AH que me falta?

EDITAR: El RFC que trata este problema dice que AH no es compatible con la encapsulación UDP mientras que el borrador del mismo RFC también ofrece una solución para la encapsulación UDP para el protocolo AH.

    
pregunta Bush 04.12.2013 - 21:22
fuente

1 respuesta

2

AH incluye el encabezado IP externo en el cálculo de HMAC, por lo que NAT lo rompe. Según tengo entendido, NAT-T nunca se expandió para admitir AH porque NAT rompe la protección del encabezado IP externo.

enlace "Debido a que la protección de las direcciones IP externas en IPsec AH es inherentemente incompatible con NAT, el IPsec AH quedó fuera del alcance de esta especificación de protocolo".

    
respondido por el m3ta 04.12.2013 - 23:08
fuente

Lea otras preguntas en las etiquetas

¿Los servidores modernos son susceptibles de ataques de división HTTP? Mejores prácticas para acceder al puerto de administración del firewall