Passa al contenuto principale

4.2. Funzionalità SA (SA Functionality)

L'insieme di servizi di sicurezza offerti da una SA dipende dal protocollo di sicurezza selezionato, dalla modalità SA, dagli endpoint della SA e dalla scelta di servizi opzionali all'interno del protocollo.

Ad esempio, sia AH che ESP offrono servizi di integrità e autenticazione, ma la copertura differisce per ciascun protocollo e differisce per la modalità trasporto rispetto alla modalità tunnel. Se l'integrità di un'opzione IPv4 o di un'intestazione di estensione IPv6 deve essere protetta lungo il percorso tra mittente e destinatario, AH può fornire questo servizio, ad eccezione delle intestazioni IP o di estensione che potrebbero cambiare in modo non prevedibile dal mittente. Tuttavia, la stessa sicurezza può essere ottenuta in alcuni contesti applicando ESP a un tunnel che trasporta un pacchetto.

La granularità del controllo degli accessi fornito è determinata dalla scelta dei selettori che definiscono ciascuna SA. Inoltre, i mezzi di autenticazione impiegati dai peer IPsec, ad esempio, durante la creazione di una SA IKE (rispetto a una SA figlia) influenzano anche la granularità del controllo degli accessi offerto.

Riservatezza del flusso di traffico

Se viene selezionata la riservatezza, una SA ESP (modalità tunnel) tra due gateway di sicurezza può offrire una riservatezza parziale del flusso di traffico. L'uso della modalità tunnel consente di crittografare le intestazioni IP interne, nascondendo le identità della sorgente e della destinazione (ultime) del traffico. Inoltre, il riempimento del payload ESP può anche essere invocato per nascondere la dimensione dei pacchetti, nascondendo ulteriormente le caratteristiche esterne del traffico. Servizi simili di riservatezza del flusso di traffico possono essere offerti quando a un utente mobile viene assegnato un indirizzo IP dinamico in un contesto dial-up e stabilisce una SA ESP (modalità tunnel) verso un firewall aziendale (che funge da gateway di sicurezza). Si noti che le SA a granularità fine sono generalmente più vulnerabili all'analisi del traffico rispetto a quelle a granularità grossolana che trasportano traffico da molti abbonati.

Nota: Un'implementazione conforme NON DEVE (MUST NOT) consentire l'istanziazione di una SA ESP che utilizza sia la crittografia NULL che nessun algoritmo di integrità. Un tentativo di negoziare una tale SA è un evento verificabile sia dall'iniziatore che dal risponditore. La voce del registro di controllo per questo evento DOVREBBE (SHOULD) includere la data/ora corrente, l'indirizzo IP IKE locale e l'indirizzo IP IKE remoto. L'iniziatore DOVREBBE (SHOULD) registrare la voce SPD pertinente.

Ultimo aggiornamento il