Wikipedia

IPsec: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
annullaMitRouting (discussione | contributi)
165 modifiche
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Aggiunta sezione sul NAT Traversal
Aggiunta sezione relativa a Security Association e Security Policy
Riga 24:
In Tunnel mode, IPsec incapsula il pacchetto IP originale in un nuovo pacchetto IP.
Le due modalità sono supportate sia da AH che da ESP.
===Security Association e Security Policy===
Il concetto di '''Security Association''' (in breve '''SA''') è alla base del funzionamento di IPsec. Una SA è un "contratto" fra le due entità coinvolte nella comunicazione; in essa vengono stabiliti i meccanismi di protezione e le chiavi da utilizzare durante il successivo trasferimento de dati. Nell'ambito di IPsec, stabilire le security association è compito del protocollo IKE, sebbene sia possibile anche impostarle manualmente; ovviamente la procedura manuale è sconsigliata in quanto può introdurre errori che indeboliscono il tunnel. <br>
Una peculiarità delle SA è che individuano una comunicazione unidirezionale; quindi durante la creazione della connessione le entità coinvolte creano e gestiscono una SA per ognuno dei versi della comunicazione, quindi 2 SA individuano un canale [[full-duplex]]. Al fine di semplificare la gestione delle SA, viene utilizzato un apposito [[database]] detto '''SAD''' ('''S'''ecurity '''A'''ssociation '''D'''atabase), dove viene tenuta traccia delle SA attive.
Una SA è costituita dai seguenti parametri
* Gli indirizzi IP dei ''peer'' coinvolti nella comunicazione
* Il protocollo che verrà utilizzato per il tunnel (AH o ESP)
* le tecniche di cifratura utilizzate e le relative chiavi
* Un intero a 32 bit chiamato '''SPI''', acronimo per '''S'''ecurity '''P'''arameter '''I'''ndex
Dall'esame dei parametri di una SA, si deduce che vi sono contenute le informazioni necessarie per stabilire in che modo il traffico debba essere protetto; il passo successivo è definire ''quale'' traffico debba essere protetto: di questo si occupa la '''S'''ecurity '''P'''olicy (in breve '''SP'''). Una SP è una regola che stabilisce che tipo di traffico deve essere instradato nel tunnel e quindi essere coperto da IPsec; in modo analogo alle SA, le SP sono contenute in un SPD ('''S'''security '''P'''olicy '''D'''atabase).
La security policy contiene:
* Indirizzo sorgente e indirizzo destinazione del pacchetto. Tale informazione è già contenuta nella SA e quindi può sembrare ridondante. In realtà questa informazione ha senso quando viene utilizzato il Tunnel mode.
* Il protocollo e la relativa porta da instradare nel tunnel. Questa opzione dipende dall'implementazione del protocollo e non è sempre contemplata; nel caso non sia disponibile, tutto il traffico prodotto viene veicolato nel tunnel.
* Un identificativo della SA da utilizzare per processare i dati.
Una volta stabilita la security association e la security policy, può cominciare la comunicazione che sfrutterà il protocollo AH o il protocollo ESP cui verrà passato il parametro SPI, che permetterà di risalire alle tecniche crittografiche da utilizzare per la trasmissione.
 
==Protocolli di IPsec==
Estratto da "https://it.wikipedia.org/wiki/IPsec"