Charakterystyka pośredniczenia w IPsec

AH i ESP zapewniają ochronę integralności komunikatu przesyłanego między węzłami końcowymi, wykonując obliczenia na danych z nagłówka pakietu IP. Użycie serwera proxy zmieniłoby dane w nagłówku, powodując błąd integralności komunikatu. Teoretycznie architektura IPsec pozwala na użycie pośrednich serwerów proxy w komunikacji między węzłami końcowymi, jeśli mogłyby współuczestniczyć w negocjacjach parametrów ochrony integralności wchodzących w skład SA. Niestety, szczegóły działania takiego mechanizmu nie zostały jeszcze zdefiniowane, więc obecnie nie można przekazywać ruchu IPsec przez serwery proxy.

Można jednak używać zwykłych połączeń IP z serwerem proxy, który następnie będzie się porozumiewał z hostem docelowym za pomocą IPsec. Można również używać IPsec w połączeniu z SOCKS. W takiej konfiguracji klient nawiązywałby połączenie z serwerem SOCKS za pomocą IPsec, a serwer SOCKS otwierałby oddzielny kanał komunikacyjny IPsec z ostatecznym miejscem przeznaczenia. Jednakże takie podwójne połączenie IPsec zużywałoby wiele mocy obliczeniowej.

Charakterystyka translacji adresów sieciowych w IPsec. Zarówno AH, jak i ESP zapewniają ochronę integralności całego pakietu, łącznie z nagłówkami. Jeśli zmodyfikujesz pakiet nawet w niewielkim stopniu, choćby po to, aby zmienić adres źródłowy lub docelowy, tym samym unieważnisz pakiet. Nie da się więc dokonywać translacji adresów sieciowych w ruchu AH i ESP. Z drugiej strony, nie będzie żadnych problemów z tłumaczeniem adresów pakietów, które są tunelowane przez AH lub ESP protokoły te nie zwracają uwagi na to, co dzieje się z pakietem, dopóki jest to standardowy pakiet IP.

Możesz zatem połączyć translację adresów sieciowych z tunelowaniem IPsec, jeśli będziesz najpierw tłumaczył adresy, a dopiero potem otwierał tunel IPsec (używając terminologii IPsec, można zrealizować translację adresów sieciowych przed bramką bezpieczeństwa lub w samej bramce).

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>