IPsec: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m Bot: sintassi e spaziatura dei link e modifiche minori |
|||
Riga 1:
{{IPstack}}
In [[telecomunicazioni]] e [[informatica]] '''IPsec''', abbreviazione di '''IP Security''', è uno [[standard (informatica)|standard]] per [[rete informatica|reti]] a [[commutazione di pacchetto|pacchetto]] che si prefigge di ottenere [[connessione (informatica)|connessioni]] sicure su [[Rete informatica|reti]] [[Internet Protocol|IP]].
La [[sicurezza informatica|sicurezza]] viene raggiunta attraverso funzionalità di [[cifratura]] e [[autenticazione]] dei [[pacchetto (reti)|pacchetti]] IP ([[datagramma|datagrammi]]). La capacità di fornire protezione o sicurezza viene fornita quindi a [[livello di rete]] cui IP appartiene e questo fatto rende questo [[protocollo di rete|protocollo]] trasparente al [[livello applicazioni|livello delle applicazioni]] che non devono quindi essere modificate.
==Panoramica dello standard==
Riga 102:
; Security Parameter Index: Questo campo identifica i parametri di sicurezza in combinazione con l'indirizzo IP. In genere è un numero pseudo-casuale che identifica la [[security association]] cui fa parte questo pacchetto.
; Numero di successione: Una successione di numeri monotonicamente crescenti. Per imperdire i [[replay attack]], il numero di successione quando raggiunge il valore massimo (2^{32}-1) non deve ritornare a 0, ma una nuova SA deve essere creata.
; Dati per l'autenticazione: Contiene l'Integrity Check Value (ICV) è rappresenta l'[[HMAC]] calcolato dall'originatore del messaggio. L'HMAC viene calcolato utilizzando i campi dell'header IP (con il [[Time to live|TTL]] originario), i campi dell'header AH tranne i dati dell'autenticazione (viene considerato a 0) e infite tutti i dati degli header di livello superiore, compresi quelli applicativi, che non vengono modificati durante il trasporto.
====Transport mode e Tunnel mode====
Riga 144:
===Encapsulating Security Payload (ESP)===
====Descrizione====
'''Encapsulating Security Payload''', denotato con l'[[acronimo]] '''ESP''', è un protocollo che fa parte della suite IPsec. Il suo obiettivo è fornire confidenzialità e controllo di integrità e autenticità alla comunicazione. Contrariamente a quanto fa [[Authentication Header|AH]], l'header IP non viene coperto dai controlli. Al pari di
====Formato del pacchetto====
Riga 177:
Authentication Data (variable)
|}
; Security Parameters Index (SPI): Al pari di quanto avviene in
; Sequence Number: Una successione di numeri monotonicamente crescente, che identifica il pacchetto all'interno delle Security Association e previene da [[replay attack]].
; Payload: I dati che devono essere trasferiti
Riga 222:
|} <small>ESP in Tunnel mode</small>
Le linee azzurre sottendono la parte di pacchetto che viene sottoposta a controllo di autenticità e integrità; le zone verdi indicano le zone di pacchetto che vengono protette tramite algoritmi crittografici. Per quanto riguarda gli algoritmi di cifratura possono essere utilizzati [[Data Encryption Standard]] (DES), [[3DES]], [[Advanced Encryption Standard|AES]] e [[Blowfish]].
Il controllo di integrità e autenticità viene eseguito tramite [[HMAC]] (funzioni di [[hash]]);
l'hash viene calcolato tramite una funzione di hash ([[MD5]] o [[SHA1]]), utilizzando una chiave condivisa; l'hash ottenuto viene allegato al messaggio e inviato. In ricezione viene controllata l'integrità del messaggio. Dagli schemi visti prima si nota che l'indirizzo IP più esterno non viene coperto dal controllo di integrità. Tale opzioni rende il protocollo ESP adatto ad essere utilizzato in alcuni tipi di [[Network address translation|NAT]], in particolare in quelli statici. Tuttavia esistono soluzioni ''ad-hoc'' per il funzionamento congiunto di IPsec e NAT come il NAT Traversal.
| |||