¿Cuándo uso el modo de túnel IPsec o el modo de transporte?

11

Básicamente entiendo cómo funcionan el modo de túnel y el modo de transporte, pero no sé cuándo debería usar uno en lugar de otro.

Entre las dos partes que desean comunicarse, si una computadora B no entiende IPsec, creo que tienen que usar el modo túnel, que coloca la IP y la carga original en ESP y entrega el paquete a un dispositivo cercano a B que sabe IPsec, y ese dispositivo descifra el paquete y envía el paquete descifrado a la computadora B.

Pero, ¿y si las dos computadoras conocen IPsec, puedo usar el modo de transporte? Varios artículos mencionan que si dos computadoras están en una intranet, use el transporte; Si están en redes diferentes, use el túnel. ¿Por qué? Si dos computadoras están en redes diferentes y se usa el modo de transporte, ¿qué problema ocurrirá?

(Trate de no mencionar AH y el llamado gateway de seguridad, no sé qué son).

    
pregunta Gqqnbig 18.12.2014 - 03:58
fuente

3 respuestas

7

Desde Cisco: enlace

  

El modo de túnel se usa más comúnmente entre pasarelas, o en una   estación final a una puerta de enlace, la puerta de enlace que actúa como un proxy para los hosts   detrás de él.

     

El modo de transporte se usa entre estaciones finales o entre estaciones finales   y una puerta de enlace, si la puerta de enlace se trata como un host, por ejemplo,   una sesión Telnet encriptada desde una estación de trabajo a un enrutador, en la cual   el enrutador es el destino real.

Entonces, ¿cuáles son las diferencias:

El modo de túnel protege cualquier información de enrutamiento interna al cifrar el encabezado IP del paquete ENTERO. El paquete original está encapsulado por otro conjunto de encabezados IP.

  • NAT transversal es compatible con el modo de túnel.
  • Se agregan encabezados adicionales al paquete; por lo que hay menos carga útil MSS

El modo de transporte encripta la carga útil y el remolque de ESP SOLAMENTE . El encabezado IP del paquete original no está cifrado.

  • El modo de transporte se implementa para los escenarios VPN de cliente a sitio.
  • NAT transversal NO ES compatible con el modo de transporte.
  • MSS es más alto

El modo de transporte generalmente se realiza con otros protocolos de tunelización (GRE, L2TP) que se usan para encapsular primero el paquete de datos IP, luego se usa IPsec para proteger los paquetes del túnel GRE / L2TP.

EDITADO:

Aquí hay una lectura detallada de las diferencias de Microsoft: enlace

    
respondido por el munkeyoto 18.12.2014 - 04:11
fuente
1

Para elaborar más sobre la respuesta de Milen, si no tiene problemas de enrutamiento, entonces el modo de transporte es ciertamente factible ya sea que se trate de 2 puertas de enlace que se comuniquen entre sí, o incluso de 2 hosts que se comuniquen entre sí (sin hacer IPsec).

Por ejemplo, si tenía 2 servidores DMZ públicos que se comunicaban entre sí a través de Telnet a través de Internet, y más profundo en la red, se utilizaron 2 enrutadores IPsec para cifrar ese tráfico específico. El modo de transporte estaría bien en este caso, ya que todas las partes tienen IP públicas en sus interfaces:

DMZhost-A > > IPSECrouter-A > > INTERNET > > IPSECrouter-B > > DMZhost-B

Esto permite que el ISP clasifique los paquetes en función de los datos del "Encabezado siguiente" del paquete IP, que aparecerían como TCP. Sin embargo, el puerto TCP estaría oculto dentro de la parte encriptada del paquete (el encabezado TCP real).

En ese sentido, el paquete es vulnerable al análisis del atacante, ya que al menos sabría que es una especie de sesión TCP, y también tendría las IP reales de los servidores DMZ.

    
respondido por el ipsecH4ter 29.01.2016 - 16:05
fuente
0
  

En el modo de transporte IPSec, solo la carga de IP está encriptada, y la   Los encabezados IP originales se dejan intactos. También permite dispositivos en el   Red pública para ver la fuente final y el destino del paquete.   Con esta capacidad, puede habilitar el procesamiento especial en el   Red intermedia basada en la información en el encabezado IP.   Sin embargo, el encabezado de la Capa 4 se cifrará, limitando el   examen del paquete. Desafortunadamente, al pasar el encabezado IP en   El modo claro, transporte permite a un atacante realizar algún tráfico.   análisis.

Fuente: Cisco

Habiendo citado eso, este casi nunca es el caso: la carga útil subyacente suele ser un protocolo de tunelización (por ejemplo, L2TP en el caso de clientes de Windows o móviles, podría ser GRE), por lo que en términos de redes modernas hay factores "atenuantes" Contra el análisis de tráfico en modo transporte.

    
respondido por el Milen 19.12.2014 - 08:19
fuente

Lea otras preguntas en las etiquetas