5. Sicherheitsüberlegungen
5. Sicherheitsüberlegungen
Per Definition erfordert IPsec-NAT-Kompatibilität, dass Hosts und Router, die IPsec implementieren, in der Lage sind, Pakete sicher zu verarbeiten, deren IP-Header nicht kryptographisch geschützt sind. Hieraus ergeben sich eine Reihe von Problemen, die es wert sind, diskutiert zu werden.
Da IPsec AH nicht durch ein NAT passieren kann, kann einer der Nebeneffekte der Bereitstellung einer IPsec-NAT-Kompatibilitätslösung darin bestehen, dass IPsec ESP mit Null-Verschlüsselung anstelle von AH verwendet wird, wenn ein NAT zwischen Quelle und Ziel existiert. Es sollte jedoch beachtet werden, dass ESP mit Null-Verschlüsselung nicht die gleichen Sicherheitseigenschaften wie AH bietet. Zum Beispiel gibt es Sicherheitsrisiken im Zusammenhang mit IPv6-Source-Routing, die durch AH ausgeschlossen werden, aber nicht durch ESP mit Null-Verschlüsselung.
Darüber hinaus schützt ESP mit jeder Transformation nicht vor Quelladress-Spoofing, so dass eine Art von Quelladress-Integritätsprüfung durchgeführt werden muss. Die Bedeutung der Anti-Spoofing-Prüfung wird nicht weitgehend verstanden. Normalerweise gibt es eine Anti-Spoofing-Prüfung der Quell-IP-Adresse als Teil von IPsec_{esp,ah}_input(). Dies stellt sicher, dass das Paket von derselben Adresse stammt, die in den ursprünglichen IKE Phase 1 und Phase 2 Sicherheitsassoziationen behauptet wurde. Wenn ein empfangender Host hinter einem NAT ist, ist diese Prüfung für Unicast-Sitzungen möglicherweise nicht streng sinnvoll, während im globalen Internet diese Prüfung für Tunnelmodus-Unicast-Sitzungen wichtig ist, um einen in [AuthSource] beschriebenen Spoofing-Angriff zu verhindern, der auftreten kann, wenn Zugriffskontrollen am Empfänger von der Quell-IP-Adresse verifizierter ESP-Pakete nach der Entkapselung abhängen. IPsec-NAT-Kompatibilitätsschemata sollten Anti-Spoofing-Schutz bieten, wenn sie Quelladressen für Zugriffskontrollen verwenden.
Betrachten wir zwei Hosts, A und C, beide hinter (verschiedenen) NATs, die IPsec-Tunnelmodus-SAs zum Router B aushandeln. Hosts A und C können unterschiedliche Berechtigungen haben; zum Beispiel könnte Host A einem Mitarbeiter gehören, dem vertraut wird, auf einen Großteil des Unternehmens-Intranets zuzugreifen, während C ein Auftragnehmer sein könnte, der nur zum Zugriff auf eine bestimmte Website berechtigt ist.
Wenn Host C ein Tunnelmodus-Paket sendet, das As IP-Adresse als Quelle fälscht, ist es wichtig, dass diesem Paket nicht die A entsprechenden Berechtigungen gewährt werden. Wenn Authentifizierung und Integritätsprüfung durchgeführt werden, aber keine Anti-Spoofing-Prüfung (Verifizierung, dass die Ursprungs-IP-Adresse dem SPI entspricht), dann kann Host C möglicherweise Teile des Netzwerks erreichen, die tabu sind. Infolgedessen MUSS ein IPsec-NAT-Kompatibilitätsschema einen gewissen Grad an Anti-Spoofing-Schutz bieten.