Wikipedia

IPsec: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
annulla%Pier% (discussione | contributi)
Amministratori
53 767 modifiche
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
m Riportata alla versione precedente
m wikilink IP (disambigua) + wikilink vari
Riga 1:
IPsec è l'abbreviazione di '''IP Security''' ed è uno standard per ottenere connessioni basate su [[Rete informatica|reti]] [[Internet Protocol|IP]] sicure.
La sicurezza viene raggiunta attraverso la [[cifratura]] e l'[[autenticazione]] dei pacchetti [[Internet Protocolpacchetto|IPpacchetti]] IP. La sicurezza viene fornita, quindi, a [[Livellolivello di rete|livello rete]]. La capacità di fornire protezione a livello di rete rende questo [[protocollo di rete|protocollo]] trasparente al livello delle applicazioni che non devono essere modificate.
 
==Panoramica dello standard==
Riga 22:
* Tunnel mode
* Transport mode
a seconda della modalità scelta, vengono protetti solo i protocolli di livello superiore o l'intero pacchetto [[IP]]. In Transport mode, viene coperto da IPsec solo il payload del pacchetto IP originale, in quanto l'header IPsec viene inserito dopo l'header del pacchetto IP.
In Tunnel mode, IPsec incapsula il pacchetto IP originale in un nuovo pacchetto IP.
Le due modalità sono supportate sia da AH che da ESP.
Riga 209:
Le linee azzurre sottendono la parte di pacchetto che viene sottoposta a controllo di autenticità e integrità; le zone verdi indicano le zone di pacchetto che vengono protette tramite algoritmi crittografici. Per quanto riguarda gli algoritmi di cifratura possono essere utilizzati [[DES]], [[3DES]], [[AES]] e [[Blowfish]].
Il controllo di integrità e autenticità viene eseguito tramite [[HMAC]] (funzioni di [[hash]]);
l'hash viene calcolato tramite una funzione di hash ([[MD5]] o [[SHA1]]), utilizzando una chiave condivisa; l'hash ottenuto viene allegato al messaggio e inviato. In ricezione viene controllata l'integrità del messaggio. Dagli schemi visti prima si nota che l'indirizzo IP più esterno non viene coperto dal controllo di integrità. Tale opzioni rende il protocollo ESP adatto ad essere utilizzato in alcuni tipi di [[NAT]], in particolare in quelli statici. Tuttavia esistono soluzioni ''ad-hoc'' per il funzionamento congiunto di IPsec e NAT come il [[NAT Traversal]].
 
===NAT Traversal===
Riga 216:
 
====Scenario====
Il [[Network address translation|NAT]] è una tecnica molto utilizzata per il riuso degli [[indirizzi IP]]. Tuttavia gli host dietro un [[router]] (o un [[firewall]]) che effettua operazioni di NAT non godono di [[connettività end-to-end]]. Sebbene esistano diversi tipi di NAT, l'obiettivo generale è l'alterazione degli header del pacchetto. Questo comportamento è in netto contrasto con IPsec che ha tra i suoi obiettivi il controllo dell''''integrità''' del pacchetto.
In particolare il NAT è incompatibile con AH sia in tunnel mode che in transport mode, in quanto AH verifica l'integrità di tutto il pacchetto IP. ESP, invece, non copre l'header IP con controlli di sorta né in Tunnel mode né in Transport mode, per cui risulta adatto nel caso in cui il nat eseguito sia di tipo [[SNAT]]; in altre parole, la modifica apportata dal router deve coinvolgere '''solamente''' l'header IP e non anche la [[Porta (reti)|porta]] del livello superiore.
 
Estratto da "https://it.wikipedia.org/wiki/IPsec"