Passa al contenuto principale

9.2 IPsec Tunnels (Tunnel IPsec)

9.2 IPsec Tunnels (Tunnel IPsec)

IPsec supporta comunicazioni sicure attraverso componenti di rete potenzialmente non sicuri (come router intermedi). I protocolli IPsec supportano due modalità operative, modalità trasporto (transport mode) e modalità tunnel (tunnel mode), che coprono una vasta gamma di requisiti di sicurezza e ambienti operativi. Le intestazioni del protocollo di sicurezza in modalità trasporto vengono inserite tra l'intestazione IP (IPv4 o IPv6) e l'intestazione del protocollo di livello superiore (ad esempio, TCP), quindi la modalità trasporto può essere utilizzata solo per la sicurezza end-to-end su una connessione. La modalità tunnel IPsec si basa sull'aggiunta di una nuova intestazione IP "esterna" che incapsula l'intestazione IP "interna" o originale e il suo pacchetto associato. L'intestazione di sicurezza in modalità tunnel viene inserita tra queste due intestazioni IP. A differenza della modalità trasporto, la nuova intestazione IP "esterna" e l'intestazione di sicurezza in modalità tunnel possono essere aggiunte e rimosse in punti intermedi lungo il percorso della connessione, consentendo ai gateway di sicurezza di proteggere parti vulnerabili della connessione senza richiedere la partecipazione degli endpoint nel protocollo di sicurezza. Un aspetto importante della sicurezza in modalità tunnel è che, nella specifica originale, l'intestazione esterna viene scartata all'uscita del tunnel, garantendo che le minacce alla sicurezza basate sulla modifica dell'intestazione IP non si propaghino oltre quel punto finale del tunnel. Ulteriori discussioni su IPsec possono essere trovate in [RFC2401].

I protocolli IPsec originariamente definiti in [ESP, AH] richiedevano che il campo ECN dell'intestazione interna non fosse modificato dall'elaborazione di decapsulazione IPsec presso il nodo di uscita del tunnel; questo avrebbe escluso la possibilità della modalità a funzionalità completa per ECN. Allo stesso tempo, ciò garantirebbe che le modifiche dell'avversario al campo ECN non potrebbero essere utilizzate per avviare attacchi di furto o denial-of-service attraverso gli endpoint del tunnel IPsec, poiché qualsiasi tale modifica verrebbe scartata presso l'endpoint del tunnel.

In linea di principio, consentire l'uso della funzionalità ECN nell'intestazione esterna di un tunnel IPsec solleverebbe preoccupazioni sulla sicurezza poiché un avversario potrebbe manomettere informazioni che si propagano oltre gli endpoint del tunnel. Sulla base dell'analisi di queste questioni e del rischio associato (contenuta nelle Sezioni 18 e 19), il nostro approccio generale è quello di fornire supporto di configurazione per le modifiche a IPsec per eliminare i conflitti con ECN.

In particolare, in modalità tunnel, i tunnel IPsec DEVONO supportare l'opzione a funzionalità limitata delineata nella Sezione 9.1.1, e DOVREBBERO supportare l'opzione a funzionalità completa delineata nella Sezione 9.1.1.

Ciò rende l'autorizzazione all'uso della funzionalità ECN nell'intestazione esterna di un tunnel IPsec una parte configurabile della corrispondente Security Association (SA, associazione di sicurezza) IPsec, in modo che possa essere disabilitata nei casi in cui si ritiene che i rischi superino i benefici. Il risultato è che l'amministratore della sicurezza IPsec può fornire le due alternative per il comportamento di una connessione con capacità ECN su un tunnel IPsec, l'alternativa a funzionalità limitata e l'alternativa a funzionalità completa descritte in precedenza.

Inoltre, questo documento specifica come gli endpoint di un tunnel IPsec possono negoziare l'abilitazione dell'uso di ECN nell'intestazione esterna di quel tunnel sulla base della politica di sicurezza. La capacità di negoziare l'uso di ECN tra gli endpoint del tunnel consentirà all'amministratore della sicurezza di disabilitare ECN nei casi in cui ritiene che i rischi (ad esempio, il rischio di perdere notifiche di congestione) superino i benefici di ECN.

I protocolli IPsec come definiti in [ESP, AH] non includono il campo ECN dell'intestazione IP (nel caso della modalità tunnel, il campo ECN dell'intestazione IP esterna) in nessuno dei loro calcoli crittografici. Pertanto, la modifica del campo ECN da parte dei nodi di rete non ha alcun impatto sulla sicurezza end-to-end di IPsec in quanto non causerà il fallimento di alcun controllo di integrità IPsec. Pertanto, IPsec non fornisce alcuna difesa contro la modifica del campo ECN da parte di un avversario (ovvero, attacchi man-in-the-middle), poiché le modifiche dell'avversario non avrebbero nemmeno alcun impatto sulla sicurezza end-to-end di IPsec. In alcuni ambienti, la capacità di modificare il campo ECN senza influenzare i controlli di integrità IPsec può costituire un canale nascosto; se è necessario eliminare tale canale o ridurne la larghezza di banda, i tunnel IPsec DOVREBBERO essere gestiti in modalità a funzionalità limitata.