Protocollo GRE

Pubblicato da Mattia Felici il

Reading Time: 3 minutes

Protocollo GRE per la creazione di VPN

Esistono numerose proposte per incapsulare un protocollo in un altro protocollo di pari livello, al fine di semplificare l’interconnessione di reti eterogenee.

La proposta più generale (e se vogliamo più semplice) è quella definita come Generic Routing Encapsulation (GRE).

Lo standard GRE prevede che ogni pacchetto, completo di intestazione, possa divenire il payload di un nuovo pacchetto, previa aggiunta di una intestazione GRE.

I protocolli supportati dal GRE coincidono con l’insieme di protocolli che possono essere incapsulati direttamente entro un generico frame di livello collegamento dati (per esempio un frame Ethernet).

Per distinguere gli oggetti trasportati, nell’intestazione GRE esiste il campo Protocol Type (16 bit), che riporta un valore che consente di identificare univocamente ciascun protocollo interno.

La soluzione GRE può essere utilizzata, non solo per incapsulare i protocolli di rete proprietari in pacchetti IP, ma anche per veicolare pacchetti IP over IP (in tal caso il Protocol Type è 0x0800, in notazione esadecimale).

È possibile sfruttare il GRE anche per veicolare protocolli di livello collegamento dati su una rete IP.

Questo fatto risulta particolarmente utile nel processo di “virtualizzazione” di un collegamento punto-punto PPP su un backbone IP, realizzato tramite L2TP.

Nel caso che il pacchetto GRE sia trasportato su un backbone IP, l’intestazione più esterna è nuovamente una intestazione IP.

Il protocollo IP riserva il valore 47 quale Protocol Type per identificare lo standard GRE.

L’instaurazione di un tunnel GRE è un processo che richiede normalmente un intervento manuale dell’amministratore di rete.

Infatti, anche se esistono implementazioni che prevedono un periodico scambio di messaggi di keepalive tra le terminazioni del tunnel, è comunque necessario configurare preliminarmente gli apparati partecipanti, specificando per ciascuno di essi l’indirizzo IP della controparte remota.

Solo in questo modo il gateway, alla ricezione di un generico pacchetto GRE, è in grado di riconoscerne l’appartenenza a uno dei tunnel e completare l’instradamento regolarmente.

Il GRE non prevede inoltre alcuna soluzione crittografica intrinseca per garantire integrità e riservatezza dei dati trasferiti.

Le tabelle di instradamento dei gateway possono essere configurate per utilizzare un tunnel GRE solo per veicolare parte del traffico uscente dalla rete locale.

Normalmente i pacchetti da incapsulare utilizzando il GRE sono riconosciuti sulla base degli indirizzi IP di destinazione (per esempio perché coincidenti con gli identificativi delle stazioni appartenenti a una rete privata remota).

Formalmente i pacchetti IP che trasportano un messaggio incapsulato tramite GRE sono soggetti alle stesse limitazioni e vulnerabilità dei comuni pacchetti IP veicolati su un backbone IP.

Il GRE prevede solo l’aggiunta di un livello di encapsulation, per consentire ai router del carrier di instradare i messaggi senza doversi preoccupare della reale natura dei dati trasportati.

Questa soluzione, pur efficace per il routing, non risolve gli inconvenienti di sicurezza intrinsecamente connessi all’uso di una rete IP ad accesso pubblico in sostituzione di collegamenti privati.

Se è condizione necessaria assicurare requisiti di integrità e riservatezza al traffico scambiato tra sistemi privati, è indispensabile introdurre soluzioni crittografiche proprietarie direttamente sui terminatori del tunnel o tra le stazioni finali coinvolte (magari operando a livello applicativo solo su quei flussi dati per cui occorrono tali requisiti).

La mancanza di una soluzione crittografica generale, la necessità di un grosso lavoro di preconfigurazione degli apparati e le difficoltà pratiche che si incontrano nel garantire una prestabilita qualità del servizio sul backbone IP ai pacchetti scambiati tra sistemi privati, sono tutti fattori che hanno contribuito a limitare la diffusione di questo standard per la realizzazione di VPN.

La realizzazione di soluzioni GRE è oggi ristretta a scenari di limitata estensione, in cui l’obbiettivo è esclusivamente permettere il dialogo, attraverso una rete IP, di sistemi legacy che utilizzano protocolli proprietari e che implementano autonomamente funzioni crittografiche per garantire privacy e integrità ai flussi dati.

Diverso il discorso se si vanno a guardare anche le soluzioni ibride che coinvolgono il GRE solo come componente di una architettura più complessa.

Categorie: Reti e Internet
Tag:

Articoli correlati

Reti e Internet

Network Connectivity Defense

Difesa della connettività di rete Normalmente gli switch e i router di rete possiedono capacità di limitazione del flusso di dati, binding ritardato, filtraggio di indirizzi IP falsi e liste di controllo degli accessi (ACL) Leggi tutto…

Reti e Internet

Bridging

Frame unicast Quando un bridge riceve su una qualunque porta un frame unicast determinerà l’indirizzo di destinazione estraendolo dall’header e dopo aver effettuato una ricerca all’interno della propria tabella, inoltrerà il frame verso l’interfaccia associata Leggi tutto…

Sicurezza in Rete

WI-Fi e Bluetooth: difesa personale

Wi-Fi e Bluetooth sono due tecnologie che ci liberano dai cavi. Wi-Fi connette i computer alla rete; Il Bluetooth collega le periferiche, come mouse, tastiere e cuffie ai computer, inclusi smartphone e tablet. Entrambi utilizzano Leggi tutto…

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.