Zum Hauptinhalt springen

3.1. ESP Header Location (ESP-Header-Position)

3.1. ESP Header Location (ESP-Header-Position)

ESP kann auf zwei Arten eingesetzt werden: Transportmodus oder Tunnelmodus.

3.1.1. Transport Mode Processing (Transportmodus-Verarbeitung)

Im Transportmodus wird ESP nach dem IP-Header und vor einem Protokoll der nächsten Schicht eingefügt, z.B. TCP, UDP, ICMP usw. Im Kontext von IPv4 bedeutet dies, ESP nach dem IP-Header (und allen darin enthaltenen Optionen), aber vor dem Protokoll der nächsten Schicht zu platzieren. (Wenn AH auch auf ein Paket angewendet wird, wird es auf den ESP-Header, Payload, ESP-Trailer und ICV (falls vorhanden) angewendet.) (Beachten Sie, dass der Begriff "Transport"-Modus nicht so missverstanden werden sollte, dass seine Verwendung auf TCP und UDP beschränkt ist.) Das folgende Diagramm veranschaulicht die ESP-Transportmodus-Positionierung für ein typisches IPv4-Paket auf "Vorher-Nachher"-Basis. (Dieses und nachfolgende Diagramme in diesem Abschnitt zeigen das ICV-Feld, dessen Vorhandensein eine Funktion der Sicherheitsdienste und des ausgewählten Algorithmus/Modus ist.)

               VOR ANWENDUNG VON ESP
          ----------------------------
    IPv4  |orig IP hdr  |     |      |
          |(any options)| TCP | Data |
          ----------------------------

               NACH ANWENDUNG VON ESP
          -------------------------------------------------
    IPv4  |orig IP hdr  | ESP |     |      |   ESP   | ESP|
          |(any options)| Hdr | TCP | Data | Trailer | ICV|
          -------------------------------------------------
                              |<---- encryption ---->|
                        |<-------- integrity ------->|

Im IPv6-Kontext wird ESP als Ende-zu-Ende-Nutzdaten betrachtet und sollte daher nach Hop-by-Hop-, Routing- und Fragmentierungs-Erweiterungsheadern erscheinen. Zieloptionen-Erweiterungsheader könnten vor, nach oder sowohl vor als auch nach dem ESP-Header erscheinen, abhängig von der gewünschten Semantik. Da ESP jedoch nur Felder nach dem ESP-Header schützt, ist es im Allgemeinen wünschenswert, die Zieloptionen-Header nach dem ESP-Header zu platzieren. Das folgende Diagramm veranschaulicht die ESP-Transportmodus-Positionierung für ein typisches IPv6-Paket.

                   VOR ANWENDUNG VON ESP
          ---------------------------------------
    IPv6  |             | ext hdrs |     |      |
          | orig IP hdr |if present| TCP | Data |
          ---------------------------------------

                   NACH ANWENDUNG VON ESP
          ---------------------------------------------------------
    IPv6  | orig |hop-by-hop,dest*,|   |dest|   |    | ESP   | ESP|
          |IP hdr|routing,fragment.|ESP|opt*|TCP|Data|Trailer| ICV|
          ---------------------------------------------------------
                                       |<--- encryption ---->|
                                   |<------ integrity ------>|

              * = falls vorhanden, kann vor ESP, nach ESP oder beides sein

Beachten Sie, dass im Transportmodus für "Bump-in-the-Stack"- oder "Bump-in-the-Wire"-Implementierungen, wie im Security Architecture-Dokument definiert, eingehende und ausgehende IP-Fragmente möglicherweise eine zusätzliche IP-Wiederzusammensetzung/Fragmentierung durch die IPsec-Implementierung erfordern, um sowohl dieser Spezifikation zu entsprechen als auch transparente IPsec-Unterstützung bereitzustellen. Besondere Sorgfalt ist erforderlich, um solche Operationen innerhalb dieser Implementierungen durchzuführen, wenn mehrere Schnittstellen verwendet werden.

3.1.2. Tunnel Mode Processing (Tunnelmodus-Verarbeitung)

Im Tunnelmodus trägt der "innere" IP-Header die ultimativen (IP-) Quell- und Zieladressen, während ein "äußerer" IP-Header die Adressen der IPsec-"Peers" enthält, z.B. Adressen von Sicherheitsgateways. Gemischte innere und äußere IP-Versionen sind zulässig, d.h. IPv6 über IPv4 und IPv4 über IPv6. Im Tunnelmodus schützt ESP das gesamte innere IP-Paket einschließlich des gesamten inneren IP-Headers. Die Position von ESP im Tunnelmodus relativ zum äußeren IP-Header ist dieselbe wie für ESP im Transportmodus. Das folgende Diagramm veranschaulicht die ESP-Tunnelmodus-Positionierung für typische IPv4- und IPv6-Pakete.

              VOR ANWENDUNG VON ESP
         ----------------------------
   IPv4  |orig IP hdr  |     |      |
         |(any options)| TCP | Data |
         ----------------------------

              NACH ANWENDUNG VON ESP

         -----------------------------------------------------------
   IPv4  | new IP hdr* |     | orig IP hdr*  |   |    | ESP   | ESP|
         |(any options)| ESP | (any options) |TCP|Data|Trailer| ICV|
         -----------------------------------------------------------
                             |<--------- encryption --------->|
                       |<------------- integrity ------------>|


                   VOR ANWENDUNG VON ESP
         ---------------------------------------
   IPv6  |             | ext hdrs |     |      |
         | orig IP hdr |if present| TCP | Data |
         ---------------------------------------

                  NACH ANWENDUNG VON ESP

         ------------------------------------------------------------
   IPv6  | new* |new ext |   | orig*|orig ext |   |    | ESP   | ESP|
         |IP hdr| hdrs*  |ESP|IP hdr| hdrs *  |TCP|Data|Trailer| ICV|
         ------------------------------------------------------------
                             |<--------- encryption ---------->|
                         |<------------ integrity ------------>|

         * = falls vorhanden, werden die Konstruktion des äußeren IP-Headers/
             Erweiterungen und die Modifikation des inneren IP-Headers/
             Erweiterungen im Security Architecture-Dokument besprochen.
Letztes Update am