A proposito dell'autore

E' certificato Cisco CCNA. Appassionato di reti e di Sicurezza. Redattore di NetworkingItalia per il quale ha scritto diversi articoli. Pubblica anche su AreaNetworking e ASSINT per il quale sta realizzando un corso online sulla sicurezza informatica. Al momento lavora presso un istituto professionale di Monza (MI) come Assistente Tecnico ma spera di poter cambiare.

Transport mode e Tunnel mode

Nel configurare una VPN IPsec, una delle prime decisioni che devono essere prese per garantire la sicurezza riguarda la modalità di trasporto dei dati.

Ovvero come proteggere il pacchetto IP e quanto del pacchetto IP originale proteggere. Infatti i protocolli di sicurezza ESP ed AH che incapsulano il pacchetto IP possono avere due modalità di applicazione: Transport mode e Tunnel mode. Questa distinzione ha un impatto sulle altre decisioni di configurazione che devono essere fatte. Essenzialmente la differenza principale fra queste due modalità di trasporto è dovuta al tipo di apparecchiature che vanno a comporre i punti finali della VPN IPsec.

Transport Mode

Transport mode è una modalità di trasporto dati il cui percorso protetto da IPsec può avvenire solo tra host finali cioè, è una modalità che protegge i dati durante il percorso da host ad host. Questi host finali fanno un incapsulamento dei propri dati proteggendo il payload del pacchetto IP. L’incapsulamento avviene inserendo all’interno del pacchetto IP gli header dei protocolli di sicurezza AH ed ESP. Questo incapsulamento modifica in maniera sostanziale la struttura del datagramma IP. L’inserimento di questo header avviene tra l’header IP e l’header di livello superiore (Trasporto). Questo fa si che la sicurezza venga garantita solamente per i protocolli di livello superiore ad IP, livelli trasporto ed applicativo.

Nella modalità Transport mode viene protetto il payload del pacchetto mantenendo l’indirizzo IP originale in chiaro. L’indirizzo IP originale viene usato per indirizzare il pacchetto attraverso Internet. Transport Mode come dice il nome permette appunto al pacchetto di essere trasportato senza che nella struttura del pacchetto vengano toccati gli indirizzi IP nell’header IP. L’unico campo che viene modificato nell’header IP è il campo “protocol” in IPv4 o “next header” in IPv6 che adesso deve indicare quale è il successivo header/protocollo (AH o ESP) al processore. Se venisse incapsulato l’header IP (e quindi nascosto) anche l’indirizzo IP, i vari nodi sulla rete non sarebbero capaci di indirizzarlo verso la sua destinazione.

Nelle due figure sotto è riprodotto un datagramma IPv4 nella rappresentazione con tutti i campi e nella rappresentazione a sezioni.

Transport Mode secondo il protocollo AH

Quando per proteggere il traffico viene utilizzato il protocollo AH in transport mode, un nuovo header AH viene aggiunto tra l’header IP e l’IP payload. Nell’header IP viene modificato il campo protocol per indicare che il prossimo header da trattare è il protocollo AH. Poi il pacchetto IP intero così ottenuto ad eccezione di alcuni campi mutabili dell’header IP viene autenticato dal processo di hashing il cui valore troncato ai primi 96 bit viene incluso nel campo authenticator di AH. I campi che vengono sottoposti al processo di hashing sono rappresentati dallo sfondo giallo come mostrato nella rappresentazione di un datagramma IP protetto (autenticato) da AH in transport mode della Figura sotto e così inviato a destinazione. A seguire la rappresentazione grafica a sezioni di un datagramma IP protetto da AH in Transport Mode.

Transport Mode secondo il protocollo ESP

Quando ESP viene implementato in transport mode viene incapsulato l’originale payload IP che viene anche cifrato. Nell’immagine sotto vengono rappresentati in giallo tutti i campi del datagramma sottoposti a cifratura. Il meccanismo di autenticazione sottopone al processo di hashing l’header di ESP e il trailer oltre al payload IP cifrato. Nell’immagine sotto sono evidenziati da una cornice tratteggiata rosa tutti i campi sottoposti ad autenticazione. L’hash così ottenuto e troncato ai primi 96 bit viene inserito nel campo Authentication Data. L’header IP originale viene tenuto intatto (ad eccezione del campo “protocol” che viene modificato per indicare il protocollo ESP), perché così rimangono immutati gli indirizzi IP di sorgente e destinazione. La parte B della Figura sotto è la rappresentazione grafica a sezioni di un datagramma IP protetto da ESP in transport mode.

In transport mode, ESP usa l’header IP originale per instradare il pacchetto invece di creare un nuovo header IP. La figura sopra mostra che in transport mode, ESP cifra solamente il payloads del pacchetto e il Trailer ESP. Come con AH, ESP in transport mode è usata in genere nelle architetture da Host-a-Host.

Tunnel mode

Tunnel mode è una modalità di trasporto dati che può essere usata sia tra due host finali, sia tra host e security gateway, che tra security gateway solamente. Il traffico tra due security gateway è sempre in Tunnel mode. Tunnel mode viene usualmente utilizzato come una infrastruttura di sicurezza intermedia cioè, per far passare all’interno di un tunnel cifrato il traffico fra due sistemi non-IPsec, rendendo “invisibile” la protezione IPsec del traffico. Infatti, in Tunnel mode gli host finali non sono consapevoli che sia stato usato IPsec per proteggere il traffico. Questa modalità è quella più utilizzata per trasmettere in modo sicuro i dati attraverso un mezzo non sicuro.

I punti finali del tunnel cifrano e/o autenticano l’intero pacchetto IP prevenendo qualunque modifica durante il transito. Il pacchetto così cifrato viene incapsulano all’interno di un nuovo pacchetto IP e consegnato a destinazione. Questo fa si che la sicurezza viene garantita per tutto il pacchetto IP originale. In questa maniera Tunnel mode protegge tutto il pacchetto IP perché lo incapsula interamente (header IP, header di livello trasporto e payload). Le interfacce di entrata e di uscita del tunnel diventano gli indirizzi IP di sorgente e di destinazione del nuovo pacchetto IP nascondendone gli indirizzi IP originali. In tunnel mode come dice il nome tutto il pacchetto viene incapsulato. Gli indirizzi IP esterni sono usati per indirizzare il pacchetto IP attraverso Internet. Una eventuale intercettazione del pacchetto non permetterebbe di leggere nessuna parte del pacchetto originale, si potrebbero distinguere solamente gli indirizzi IP dei punti finali del tunnel. In Tunnel Mode gli host finali non sono consapevoli che sia stato usato IPsec per proteggere il loro traffico.

Tunnel Mode secondo il protocollo AH

Quando viene utilizzato il protocollo AH in Tunnel Mode, viene aggiunto un header AH e un nuovo header IP che vanno ad incapsulare interamente il pacchetto IP originale. Poi il pacchetto IP intero così ottenuto ad eccezione di alcuni campi mutabili dell’header IP nuovo viene autenticato dal processo di hashing il cui valore troncato ai primi 96 bit formano il valore di controllo dell’integrità e viene incluso nel campo authenticator di AH. I campi che vengono sottoposti al processo di hashing sono rappresentati dallo sfondo giallo come mostrato nella rappresentazione di un datagramma IP protetto (autenticato) da AH in Tunnel Mode della Figura sotto e così inviato a destinazione.

Tunnel mode secondo ESP

ESP in tunnel mode aggiunge al datagramma IP originale un header e un trailer ESP ed un nuovo header IP che lo incapsulano in un nuovo datagramma. A questo punto il meccanismo di cifratura cifra tutti i campi rappresentati da una cornice tratteggiata viola che è il datagramma IP originale più i campi che formano il Trailer ESP. Poi un meccanismo di autenticazione sottopone al processo di hashing l’header e il Trailer ESP oltre al payload già cifrato che nell’immagine sottostante sono rappresentati dai campi del datagramma in giallo ottenendo un hash che troncato ai primi 96 bit forma il valore di controllo che và inserito nel campo Authentication Data. La parte B della Figura sotto è la rappresentazione grafica a sezioni di un datagramma IP protetto da ESP in Tunnel Mode.

Differenze fra modalità di trasporto

Quindi, la differenza principale fra queste due modalità di trasporto è dovuta essenzialmente al tipo di apparecchiature che vanno a comporre i punti finali della VPN IPsec.

Avremo quindi che:

  • Un host può supportare sia la modalità Trasport mode che Tunnel mode.
  • Un security gateway può supportare solamente la modalità Tunnel mode. Se il security gateway supporta la modalità Trasport mode, è perché il security gateway si sta comportando come un host, ad esempio per gestire la rete.

Continua…

Post correlati

Close
Entra in contatto con altri professionisti ICT, seguici su Facebook e Twitter: