Wikipedia

IPsec: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Luckas-bot (discussione | contributi)
575 945 modifiche
m r2.7.1) (Bot: Aggiungo: et:IPsec
Nessun oggetto della modifica
Riga 1:
{{IPstack}}
In [[telecomunicazioni]] IPsece è[[informatica]] l'''IPsec''', abbreviazione di '''IP Security''' ed, è uno [[standard (informatica)|standard]] per ottenere [[connessione (informatica)|connessioni]] basate su [[Rete informatica|reti]] [[Internet Protocol|IP]] sicure.
La [[sicurezza informatica|sicurezza]] viene raggiunta attraverso la [[cifratura]] e l'[[autenticazione]] dei [[pacchetto|pacchetti]] IP. La sicurezza viene fornita quindi a [[livello di rete]] cui IP appartiene. La capacità di fornire protezione a livello di rete rende questo [[protocollo di rete|protocollo]] trasparente al [[livello applicazioni|livello delle applicazioni]] che non devono quindi essere modificate.
 
==Panoramica dello standard==
===Scopo del progetto===
IPsec è stato progettato per rendere sicure sia comunicazioni ''portal-to-portal'' sia comunicazioni ''end-to-end''. Nella prima configurazione il traffico viene reso "''sicuro''" a diversi computer (in alcuni casi ad un'intera [[LAN]]); nella seconda solo i ''peer'' che stabiliscono la connessione scambiano pacchetti protetti.
Tuttavia l'uso predominante di IPsec è la creazione di VPN ([[virtual private network]]); per conseguire tale scopo possono essere utilizzati entrambi i metodi prima espostii
 
===Introduzione===
''IPsec'' è una collezione di[[protocollo di rete|protocolli]] formata da
* Protocolli che forniscono la cifratura del flusso di dati;
* Protocolli che implementano lo ''scambio delle chiavi'' per realizzare il flusso crittografato.
Per quanto riguarda il primo aspetto, esistono due protocolli: [[Authentication Header]] (AH) e [[Encapsulating Security Payload]] (ESP).
'''ESP''' fornisce autenticazione, confidenzialità e controllo di [[integrità dei dati|integrità del messaggio]] ed è il protocollo IP 50. '''AH''', invece, garantisce l'autenticazione e l'integrità del messaggio ma non offre la confidenzialità; per questo motivo ESP è molto più usato di AH; AH è il protocollo IP 51.<br/>
Attualmente esiste un solo protocollo per lo ''scambio delle chiavi'', il protocollo '''IKE'''.
IPsec è parte integrante di [[IPv6]], mentre è opzionale in [[IPv4]]. Di conseguenza, ci si aspetta che sarà maggiormente utilizzato quando IPv6 acquisterà popolarità.
Il protocollo è definito negli [[Request for Comments|RFC]] 2401-2412.
Dal [[2004]], sono in corso studi per l'aggiornamento dei protocolli.
==Scopo del progetto==
IPsec è stato progettato per rendere sicure sia comunicazioni ''portal-to-portal'' sia comunicazioni ''end-to-end''. Nella prima configurazione il traffico viene reso "''sicuro''" a diversi computer (in alcuni casi ad un'intera [[LAN]]); nella seconda solo i ''peer'' che stabiliscono la connessione scambiano pacchetti protetti.
Tuttavia l'uso predominante di IPsec è la creazione di VPN ([[virtual private network]]); per conseguire tale scopo possono essere utilizzati entrambi i metodi prima espostii
 
===Dettagli tecnici===
IPsec supporta due modalità di funzionamento:
* ''Transport mode''
*#connessione [[host]]-to-host
*#usato dagli end-point non dai [[gateway]]
*#viene cifrato solo il [[payload]] dei datagrammi IP, non l'[[header]]
Riga 27 ⟶ 28:
*#ogni host che vuole comunicare deve avere tutto il software necessario ad implementare IPsec
*#si aggiunge solo l'header IPsec; mittente e destinazione si vedono
* ''Tunnel mode''
*#connessione gateway-to-gateway
*#viene cifrato tutto il pacchetto IP originale
Riga 40 ⟶ 41:
IPsec può essere utilizzato anche per connessioni tra gateway e host.
 
====Security Association e Security Policy====
Il concetto di '''Security Association''' (in breve '''SA''') è alla base del funzionamento di IPsec. Una SA è un "contratto" fra le due entità coinvolte nella comunicazione; in essa vengono stabiliti i meccanismi di protezione e le chiavi da utilizzare durante il successivo trasferimento dei dati. Nell'ambito di IPsec, stabilire le security association è compito del protocollo IKE, sebbene sia possibile anche impostarle manualmente; ovviamente la procedura manuale è sconsigliata in quanto può introdurre errori che indeboliscono il tunnel. <br/>
Una peculiarità delle SA è che individuano una comunicazione unidirezionale; quindi durante la creazione della connessione le entità coinvolte creano e gestiscono una SA per ognuno dei versi della comunicazione, quindi 2 SA individuano un canale [[full-duplex]]. Al fine di semplificare la gestione delle SA, viene utilizzato un apposito [[database]] detto '''SAD''' ('''S'''ecurity '''A'''ssociation '''D'''atabase), dove viene tenuta traccia delle SA attive.
Una SA è costituita dai seguenti parametri
* Gli [[indirizzo IP|indirizzi IP]] dei ''peer'' coinvolti nella comunicazione;
* Il protocollo che verrà utilizzato per il tunnel (AH o ESP);
* le tecniche di cifratura utilizzate e le relative chiavi;
* Un intero a 32 bit chiamato '''SPI''', acronimo per '''S'''ecurity '''P'''arameter '''I'''ndex.
Dall'esame dei parametri di una SA, si deduce che vi sono contenute le informazioni necessarie per stabilire in che modo il traffico debba essere protetto; il passo successivo è definire ''quale'' traffico debba essere protetto: di questo si occupa la '''S'''ecurity '''P'''olicy (in breve '''SP'''). Una SP è una regola che stabilisce che tipo di traffico deve essere instradato nel tunnel e quindi essere coperto da IPsec; in modo analogo alle SA, le SP sono contenute in un SPD ('''S'''ecurity '''P'''olicy '''D'''atabase).
La security policy contiene:
Estratto da "https://it.wikipedia.org/wiki/IPsec"