¿Cuándo uso el modo de túnel IPsec o el modo de transporte?

Desde Cisco: enlace

  

El modo de túnel se usa más comúnmente entre pasarelas, o en una   estación final a una puerta de enlace, la puerta de enlace que actúa como un proxy para los hosts   detrás de él.

     

El modo de transporte se usa entre estaciones finales o entre estaciones finales   y una puerta de enlace, si la puerta de enlace se trata como un host, por ejemplo,   una sesión Telnet encriptada desde una estación de trabajo a un enrutador, en la cual   el enrutador es el destino real.

Entonces, ¿cuáles son las diferencias:

El modo de túnel protege cualquier información de enrutamiento interna al cifrar el encabezado IP del paquete ENTERO. El paquete original está encapsulado por otro conjunto de encabezados IP.

• NAT transversal es compatible con el modo de túnel.
• Se agregan encabezados adicionales al paquete; por lo que hay menos carga útil MSS

El modo de transporte encripta la carga útil y el remolque de ESP SOLAMENTE . El encabezado IP del paquete original no está cifrado.

• El modo de transporte se implementa para los escenarios VPN de cliente a sitio.
• NAT transversal NO ES compatible con el modo de transporte.
• MSS es más alto

El modo de transporte generalmente se realiza con otros protocolos de tunelización (GRE, L2TP) que se usan para encapsular primero el paquete de datos IP, luego se usa IPsec para proteger los paquetes del túnel GRE / L2TP.

EDITADO:

Aquí hay una lectura detallada de las diferencias de Microsoft: enlace

Para elaborar más sobre la respuesta de Milen, si no tiene problemas de enrutamiento, entonces el modo de transporte es ciertamente factible ya sea que se trate de 2 puertas de enlace que se comuniquen entre sí, o incluso de 2 hosts que se comuniquen entre sí (sin hacer IPsec).

Por ejemplo, si tenía 2 servidores DMZ públicos que se comunicaban entre sí a través de Telnet a través de Internet, y más profundo en la red, se utilizaron 2 enrutadores IPsec para cifrar ese tráfico específico. El modo de transporte estaría bien en este caso, ya que todas las partes tienen IP públicas en sus interfaces:

DMZhost-A > > IPSECrouter-A > > INTERNET > > IPSECrouter-B > > DMZhost-B

Esto permite que el ISP clasifique los paquetes en función de los datos del "Encabezado siguiente" del paquete IP, que aparecerían como TCP. Sin embargo, el puerto TCP estaría oculto dentro de la parte encriptada del paquete (el encabezado TCP real).

En ese sentido, el paquete es vulnerable al análisis del atacante, ya que al menos sabría que es una especie de sesión TCP, y también tendría las IP reales de los servidores DMZ.

  

En el modo de transporte IPSec, solo la carga de IP está encriptada, y la   Los encabezados IP originales se dejan intactos. También permite dispositivos en el   Red pública para ver la fuente final y el destino del paquete.   Con esta capacidad, puede habilitar el procesamiento especial en el   Red intermedia basada en la información en el encabezado IP.   Sin embargo, el encabezado de la Capa 4 se cifrará, limitando el   examen del paquete. Desafortunadamente, al pasar el encabezado IP en   El modo claro, transporte permite a un atacante realizar algún tráfico.   análisis.

Fuente: Cisco

Habiendo citado eso, este casi nunca es el caso: la carga útil subyacente suele ser un protocolo de tunelización (por ejemplo, L2TP en el caso de clientes de Windows o móviles, podría ser GRE), por lo que en términos de redes modernas hay factores "atenuantes" Contra el análisis de tráfico en modo transporte.