Passa al contenuto principale

5. Elaborazione del Traffico IP (IP Traffic Processing)

Come menzionato nella Sezione 4.4.1, "Il Database delle Politiche di Sicurezza (SPD)", l'SPD (o le cache associate) DEVE essere consultato durante l'elaborazione di tutto il traffico che attraversa il confine di protezione IPsec, incluso il traffico di gestione IPsec. Se non viene trovata alcuna politica nell'SPD che corrisponda a un pacchetto (sia per il traffico in entrata che in uscita), il pacchetto DEVE essere scartato.

Per semplificare l'elaborazione e consentire ricerche SA molto veloci (per SG/BITS/BITW), questo documento introduce il concetto di cache SPD per tutto il traffico in uscita (SPD-O più SPD-S) e una cache per il traffico in entrata non protetto da IPsec (SPD-I).

5.1. Elaborazione del Traffico IP in Uscita (Outbound IP Traffic Processing)

Considerare prima il percorso per il traffico che entra nell'implementazione tramite un'interfaccia protetta ed esce tramite un'interfaccia non protetta.

IPsec DEVE eseguire i seguenti passaggi durante l'elaborazione dei pacchetti in uscita:

  1. Quando un pacchetto arriva dall'interfaccia sottoscrittore (protetta), invocare la funzione di selezione SPD per ottenere l'SPD-ID necessario per scegliere l'SPD appropriato.

  2. Confrontare gli header del pacchetto con la cache per l'SPD specificato dall'SPD-ID del passaggio 1.

3a. Se c'è una corrispondenza, elaborare il pacchetto come specificato dalla voce di cache corrispondente, ovvero BYPASS, DISCARD o PROTECT utilizzando AH o ESP.

3b. Se non viene trovata alcuna corrispondenza nella cache, cercare nell'SPD (parti SPD-S e SPD-O) specificato dall'SPD-ID.

  1. Il pacchetto viene passato alla funzione di inoltro in uscita per selezionare l'interfaccia a cui il pacchetto sarà indirizzato.

5.1.1. Gestione di un Pacchetto in Uscita che Deve Essere Scartato

Se un sistema IPsec riceve un pacchetto in uscita che deve scartare, DOVREBBE essere in grado di generare e inviare un messaggio ICMP per indicarlo alla sorgente.

5.1.2. Costruzione dell'Header per la Modalità Tunnel

Questa sezione descrive la gestione dei campi nell'header IP esterno per le SA in modalità tunnel.

5.1.2.1. IPv4: Costruzione dell'Header per la Modalità Tunnel

Quando un datagramma IPv4 viene incapsulato per la trasmissione in modalità tunnel, l'header IP esterno include i seguenti campi:

  • Versione (Version): 4
  • IHL (Internet Header Length): Tipicamente 5, a meno che non siano presenti opzioni
  • Tipo di Servizio (Type of Service, TOS): Vedere la mappatura della classe di traffico sotto
  • Lunghezza Totale (Total Length): Lunghezza dell'intero datagramma IP
  • TTL (Time to Live): Valore configurabile
  • Protocollo (Protocol): AH (51) o ESP (50)

5.1.2.2. IPv6: Costruzione dell'Header per la Modalità Tunnel

Quando un datagramma IPv6 viene incapsulato per la trasmissione in modalità tunnel, l'header IP esterno include i seguenti campi:

  • Versione (Version): 6
  • Classe di Traffico (Traffic Class): Vedere la mappatura della classe di traffico sotto
  • Etichetta di Flusso (Flow Label): Configurabile
  • Header Successivo (Next Header): AH (51) o ESP (50)

5.2. Elaborazione del Traffico IP in Entrata

Esistono diversi percorsi per l'elaborazione del traffico IP in entrata.

5.2.1. Non Protetto a Protetto

Questa sezione descrive l'elaborazione per il traffico che arriva su un'interfaccia non protetta ed è destinato a un'interfaccia protetta. IPsec DEVE eseguire i seguenti passaggi:

  1. Elaborazione IPsec: Se il pacchetto è un pacchetto IPsec (AH o ESP), eseguire l'elaborazione IPsec utilizzando la voce SAD selezionata dal SPI.

  2. Controllo del Selettore: Se il pacchetto è arrivato su una SA, verificare che i selettori del pacchetto corrispondano ai selettori per la SA.

  3. Ricerca SPD: Cercare i selettori del pacchetto nell'SPD appropriato (SPD-I).

  4. Inoltro: Se il pacchetto ha superato tutti i controlli, inoltrarlo all'interfaccia protetta appropriata.

5.2.2. Protetto a Protetto o Protetto a Non Protetto

Il traffico proveniente da un'interfaccia protetta viene gestito in modo simile al traffico in uscita come descritto nella Sezione 5.1.

Sezioni Correlate:

Ultimo aggiornamento il