Modalità di Fruizione dei servizi IPsec

Pubblicato da Mattia Felici il

Reading Time: 2 minutes

Modalità di Fruizione dei servizi IPsec

I servizi offerti dai protocolli dell’architettura IPsec, sono resi disponibili alle entità IP, con una modifica dei datagrammi IP.

Per usufruire del servizio di autenticazione e data integrity, occorre apprendere dopo l’intestazione del datagramma IP, l’intestazione AH (il valore del campo Protocol riservato per indicare che il payload del datagramma contiene un’intestazione AH è 50).

Per usufruire del servizio di codifica/autenticazione, previsto dal protocollo ESP, occorre invece appendere l’intestazione ESP (il valore del campo Protocol è in tal caso 51).

Indipendentemente dal protocollo adottato, IPsec può agire secondo due diverse modalità:

  • modalità trasporto;
  • modalità tunnel.

Utilizzando la modalità trasporto si conserva l’intestazione IP originale del datagramma.

L’intestazione AH o ESP viene in tal caso inserita dopo l’intestazione IP originale.

IPsec in modalità trasporto costituisce essenzialmente una forma di protezione per il campo dati contenuto nel datagramma IP.

Utilizzando la modalità tunnel viene invece creata una nuova intestazione IP, che va a sostituire quella originale.

L’intestazione AH o ESP viene inserita subito dopo la nuova intestazione IP.

L’intestazione originale non viene comunque eliminata. L’intero datagramma IP originale segue l’intestazione AH o ESP.

IPsec in modalità tunnel offre una forma di protezione sull’intero datagramma IP.

Anche gli indirizzi IP delle stazioni finali coinvolte possono essere mantenuti riservati, utilizzando protocollo ESP in modalità tunnel.

La modalità trasporto fornisce protezione per i protocolli di livello superiore a IP.

Tale modalità viene generalmente utilizzata per implementare funzioni crittografiche fruibili direttamente dalle stazioni finali (end-to-end service).

La modalità tunnel fornisce invece protezione all’intero datagramma IP.

Anche se la modalità tunnel può essere utilizzata end-to-end, molto più frequentemente viene usata per implementare funzioni crittografiche presso i dispositivi di frontiera di una rete locale (router, firewall).

Nella realizzazione di una VPN, a supporto di una rete Corporate geograficamente distribuita, viene normalmente preferita la modalità tunnel di IPsec.

Categorie: Reti e InternetSicurezza in Rete
Tag:

Articoli correlati

Reti e Internet

Bridging

Frame unicast Quando un bridge riceve su una qualunque porta un frame unicast determinerà l’indirizzo di destinazione estraendolo dall’header e dopo aver effettuato una ricerca all’interno della propria tabella, inoltrerà il frame verso l’interfaccia associata Leggi tutto…

Sicurezza in Rete

WI-Fi e Bluetooth: difesa personale

Wi-Fi e Bluetooth sono due tecnologie che ci liberano dai cavi. Wi-Fi connette i computer alla rete; Il Bluetooth collega le periferiche, come mouse, tastiere e cuffie ai computer, inclusi smartphone e tablet. Entrambi utilizzano Leggi tutto…

Reti e Internet

Mezzi Trasmissivi

Per formare il canale di trasmissione condiviso dalle stazioni di una rete locale, si possono utilizzare diversi mezzi o media trasmissivi. Tipicamente questi possono essere raggruppati in tre grandi categorie a seconda delle loro caratteristiche Leggi tutto…

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.