Passa al contenuto principale

3.3. Dove può essere implementato IPsec (Where IPsec Can Be Implemented)

Ci sono molti modi in cui IPsec può essere implementato in un host, o in congiunzione con un router o firewall per creare un gateway di sicurezza, o come dispositivo di sicurezza indipendente.

Approcci di implementazione

a. Integrazione dello stack IP nativo

IPsec può essere integrato nello stack IP nativo. Ciò richiede l'accesso al codice sorgente IP ed è applicabile sia agli host che ai gateway di sicurezza, sebbene le implementazioni host native traggano il massimo vantaggio da questa strategia.

b. Bump-in-the-Stack (BITS)

In un'implementazione "bump-in-the-stack" (BITS), IPsec è implementato "sotto" un'implementazione esistente di uno stack di protocolli IP, tra l'IP nativo e i driver di rete locali. L'accesso al codice sorgente per lo stack IP non è richiesto in questo contesto, rendendo questo approccio di implementazione appropriato per l'uso con sistemi legacy.

c. Bump-in-the-Wire (BITW)

L'uso di un processore di protocollo di sicurezza inline dedicato è una caratteristica di progettazione comune dei sistemi utilizzati dai militari e di alcuni sistemi commerciali. È talvolta indicato come implementazione "bump-in-the-wire" (BITW). Tali implementazioni possono essere progettate per servire sia un host che un gateway.

Flessibilità dell'implementazione

Questo documento parla spesso in termini di uso di IPsec da parte di un host o di un gateway di sicurezza, senza riguardo al fatto che l'implementazione sia nativa, BITS o BITW. Quando le distinzioni tra queste opzioni di implementazione sono significative, il documento fa riferimento a approcci di implementazione specifici.

Un'implementazione host di IPsec può apparire in dispositivi che potrebbero non essere considerati "host". Ad esempio, un router potrebbe impiegare IPsec per proteggere i protocolli di routing (ad esempio, BGP) e le funzioni di gestione (ad esempio, Telnet), senza influenzare il traffico degli abbonati che attraversa il router. L'architettura descritta in questo documento è molto flessibile.

Ultimo aggiornamento il