Modalità di Fruizione dei servizi IPsec
I servizi offerti dai protocolli dell’architettura IPsec, sono resi disponibili alle entità IP, con una modifica dei datagrammi IP.
Per usufruire del servizio di autenticazione e data integrity, occorre apprendere dopo l’intestazione del datagramma IP, l’intestazione AH (il valore del campo Protocol riservato per indicare che il payload del datagramma contiene un’intestazione AH è 50).
Per usufruire del servizio di codifica/autenticazione, previsto dal protocollo ESP, occorre invece appendere l’intestazione ESP (il valore del campo Protocol è in tal caso 51).
Indipendentemente dal protocollo adottato, IPsec può agire secondo due diverse modalità:
- modalità trasporto;
- modalità tunnel.
Utilizzando la modalità trasporto si conserva l’intestazione IP originale del datagramma.
L’intestazione AH o ESP viene in tal caso inserita dopo l’intestazione IP originale.
IPsec in modalità trasporto costituisce essenzialmente una forma di protezione per il campo dati contenuto nel datagramma IP.
Utilizzando la modalità tunnel viene invece creata una nuova intestazione IP, che va a sostituire quella originale.
L’intestazione AH o ESP viene inserita subito dopo la nuova intestazione IP.
L’intestazione originale non viene comunque eliminata. L’intero datagramma IP originale segue l’intestazione AH o ESP.
IPsec in modalità tunnel offre una forma di protezione sull’intero datagramma IP.
Anche gli indirizzi IP delle stazioni finali coinvolte possono essere mantenuti riservati, utilizzando protocollo ESP in modalità tunnel.
La modalità trasporto fornisce protezione per i protocolli di livello superiore a IP.
Tale modalità viene generalmente utilizzata per implementare funzioni crittografiche fruibili direttamente dalle stazioni finali (end-to-end service).
La modalità tunnel fornisce invece protezione all’intero datagramma IP.
Anche se la modalità tunnel può essere utilizzata end-to-end, molto più frequentemente viene usata per implementare funzioni crittografiche presso i dispositivi di frontiera di una rete locale (router, firewall).
Nella realizzazione di una VPN, a supporto di una rete Corporate geograficamente distribuita, viene normalmente preferita la modalità tunnel di IPsec.