Passa al contenuto principale

3.1. Cosa fa IPsec (What IPsec Does)

IPsec crea un confine tra interfacce non protette e protette, per un host o una rete (vedere la figura 1 di seguito). Il traffico che attraversa il confine è soggetto ai controlli di accesso specificati dall'utente o dall'amministratore responsabile della configurazione IPsec. Questi controlli indicano se i pacchetti attraversano il confine senza impedimenti, ricevono servizi di sicurezza tramite AH o ESP, o vengono scartati.

I servizi di sicurezza IPsec sono offerti al livello IP attraverso la selezione di protocolli di sicurezza appropriati, algoritmi crittografici e chiavi crittografiche. IPsec può essere utilizzato per proteggere uno o più "percorsi" (a) tra una coppia di host, (b) tra una coppia di gateway di sicurezza, o (c) tra un gateway di sicurezza e un host. Un'implementazione host conforme DEVE supportare (a) e (c) e un gateway di sicurezza conforme deve supportare tutte e tre queste forme di connettività, poiché in determinate circostanze un gateway di sicurezza agisce come un host.

                    Non protetto (Unprotected)
                     ^       ^
                     |       |
       +-------------|-------|-------+
       | +-------+   |       |       |
       | |Scarta |<--|       V       |
       | |Discard|   |B  +--------+  |
     ................|y..| AH/ESP |..... Confine IPsec
       |   +---+     |p  +--------+  |
       |   |IKE|<----|a      ^       |
       |   +---+     |s      |       |
       | +-------+   |s      |       |
       | |Scarta |<--|       |       |
       | |Discard|   |       |       |
       +-------------|-------|-------+
                     |       |
                     V       V
                     Protetto (Protected)

        Figura 1.  Modello di elaborazione IPsec di livello superiore

In questo diagramma, "non protetto" si riferisce a un'interfaccia che potrebbe anche essere descritta come "nera" o "testo cifrato". Qui, "protetto" si riferisce a un'interfaccia che potrebbe anche essere descritta come "rossa" o "testo in chiaro". L'interfaccia protetta sopra menzionata può essere interna, ad esempio, in un'implementazione host di IPsec, l'interfaccia protetta può collegarsi a un'interfaccia di livello socket presentata dal sistema operativo. In questo documento, il termine "in entrata" si riferisce al traffico che entra in un'implementazione IPsec tramite l'interfaccia non protetta o emesso dall'implementazione sul lato non protetto del confine e diretto verso l'interfaccia protetta. Il termine "in uscita" si riferisce al traffico che entra nell'implementazione tramite l'interfaccia protetta, o emesso dall'implementazione sul lato protetto del confine e diretto verso l'interfaccia non protetta. Un'implementazione IPsec può supportare più interfacce su uno o entrambi i lati del confine.

Si noti le strutture per scartare il traffico su entrambi i lati del confine IPsec, la struttura BYPASS che consente al traffico di transitare il confine senza protezione crittografica e il riferimento a IKE come funzione di gestione delle chiavi e della sicurezza sul lato protetto.

IPsec supporta opzionalmente la negoziazione della compressione IP [SMPT01], motivata in parte dall'osservazione che quando viene impiegata la crittografia all'interno di IPsec, essa impedisce una compressione efficace da parte dei livelli di protocollo inferiori.

Ultimo aggiornamento il