Cifrado de encabezados en modo de túnel IPsec

No es que el encabezado tenga para cifrar en modo túnel; más bien, si el encabezado no está cifrado, no es realmente un túnel.

El modo de túnel consiste en tener dos enrutadores vinculados entre sí con un túnel cifrado. Intercambian paquetes por otros hosts. Esquemáticamente, el enrutador A es el enrutador de salida para la red netA, y el enrutador B es el enrutador de salida para la red netB. A y B ejecutan un túnel IPSec. Cuando una máquina en la red netA desea enviar un paquete a una máquina en la red netB, esa máquina envía el paquete a su enrutador de salida, es decir, el enrutador A. El enrutador A envía el paquete al enrutador B dentro del túnel . El enrutador B recibe el paquete encriptado, pero lo desencripta en la recepción y descubre para qué máquina en la red se debe enviar el paquete. El enrutador B procede a enviar el paquete a la máquina de destino final.

Con el túnel:

• Las máquinas de origen y destino que se comunican entre sí no necesitan conocer IPSec; solo los dos enrutadores en ambos extremos del túnel.
• Los interceptores en el enlace entre los enrutadores A y B (es decir, las "personas malas en Internet") solo ven datos cifrados y ni siquiera pueden saber qué máquina está hablando con cada máquina, ya que todo el paquete está cifrado, incluido el encabezado.

Cuando se usa en modo túnel, IPsec trata el paquete IP como una carga útil. Por lo tanto, toda esta información está encriptada. Para poder enrutarse correctamente, la entidad habilitada para IPSec genera un nuevo paquete.

Este paquete IP está diseñado para ser enviado al final del túnel, por ejemplo. Otra pasarela IPSec. Para lograr esto, el nuevo paquete de IP tendrá un nuevo encabezado de IP, con el IP de destino configurado para esta dirección de equipo en particular. El resto del paquete contendrá los datos ESP tradicionales compuestos por un encabezado, carga útil (el paquete original) y datos de autenticación.

Aquí hay un esquema del paquete y su encapsulación en un paquete IPSec en modo túnel:

                         +--------------------+----------------------------+
                         | Original IP-Header | Encapsulated protocol data |
                         +--------------------+----------------------------+
                         |                                                 |
                         |                                                 |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
| IP-Header | ESP Header | Original IP-Header | Encapsulated protocol data | ESP Trailer | Authentication data |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
                         |<--------------------------Encrypted-------------------------->|
            |<---------------------------------------Authenticated---------------------->|

El principal interés del modo túnel es proteger las direcciones (internas) de una red. Puede tomar como ejemplo una empresa con dos oficinas separadas por X kilómetros. Se configuran dos pasarelas IPSec y todo el tráfico de una red a la otra se encapsula en el túnel IPSec. Lo único que puede ver un extraño es que las dos puertas de enlace se comunican entre sí mediante el protocolo IPSec. Lo que hay dentro podría ser cualquier tipo de comunicación.

El paquete IPSec seguirá las reglas de enrutamiento de Internet.

Primero, hay dos protocolos para servicios IPSec.

AH: (encabezado de autenticación) y ESP: (encapsulando la carga útil de seguridad)

AH solo proporciona la verificación de integración, por lo que no hay cifrado en la carga útil. Entonces, asumo que te referías al protocolo ESP.

Aquí está la respuesta:

1. Una nueva IP externa junto con el encabezado ESP, IV (si es explícito), el paquete + relleno original y el ICV para formar un nuevo paquete.
   El paquete completo original y el campo de relleno están cifrados y encapsulados, por lo que ningún enrutador en el camino puede examinar el encabezado IP interno.

2. El paquete se enruta utilizando el encabezado IP externo que no está cifrado.

Por ejemplo, el host A desea enviar un paquete IP al host B y requiere IPSec y ambos firewalls tienen capacidad IPSec, entonces el firewall de A examinará y encapsulará el paquete con un encabezado IP externo con la dirección de destino del firewall de B. El paquete se envía al firewall de B con enrutadores intermedios que solo examinan el encabezado IP externo. Cuando llega al firewall de B, el encabezado IP externo, el encabezado ESP, el relleno, el ICV se eliminan, el paquete interno se descifra y se envía a B.

Digamos que el enrutador A y el enrutador B han configurado el túnel. La subred IP de Router A es x.x.x.0 / 24 y la ip en la interfaz externa del router A es y.y.y.y que es la misma interfaz donde se aplica el mapa criptográfico. En el Enrutador B digamos que su subred IP de LAN es d.d.d.0 / 24 y la ip en la interfaz externa es g.g.g.g entonces esp cifrará todo lo iniciado por el tráfico procedente de la subred x.x.x.0 a la subred d.d.d.0, dejando la interfaz y.y.y.y con y.y.y.y.y g.g.g.g. Por lo tanto, será capaz de tomar una decisión de enrutamiento.