Passa al contenuto principale

1.1. Usage Scenarios (Scenari d'uso)

1.1 Usage Scenarios (Scenari d'uso)

IKE negozia SA ESP o AH in diversi scenari, ciascuno con requisiti propri.

1.1.1. Security Gateway to Security Gateway in Tunnel Mode

               +-+-+-+-+-+            +-+-+-+-+-+
               |         | IPsec      |         |
   Protected    |Tunnel   | tunnel     |Tunnel   |     Protected
   Subnet   <-->|Endpoint |<---------->|Endpoint |<--> Subnet
               |         |            |         |
               +-+-+-+-+-+            +-+-+-+-+-+

          Figure 1: Security Gateway to Security Gateway Tunnel

Nessuna estremità della connessione IP implementa IPsec, ma nodi intermedi proteggono parte del percorso. La protezione è trasparente; il routing normale invia i pacchetti agli endpoint del tunnel. Ogni endpoint annuncia gli indirizzi "dietro" di sé; i pacchetti sono in tunnel con header interno con gli indirizzi reali.

1.1.2. Endpoint-to-Endpoint Transport Mode

  +-+-+-+-+-+                                          +-+-+-+-+-+
  |         |                 IPsec transport          |         |
  |Protected|                or tunnel mode SA         |Protected|
  |Endpoint |<---------------------------------------->|Endpoint |
  |         |                                          |         |
  +-+-+-+-+-+                                          +-+-+-+-+-+

                     Figure 2: Endpoint to Endpoint

Entrambe le estremità implementano IPsec come richiesto da [IPSECARCH]. Spesso modalità transport senza header IP interno. Una coppia di indirizzi per la SA. Le estremità POSSONO applicare controlli di accesso a livello applicativo sulle identità IPsec autenticate. Supporta la sicurezza end-to-end ([ARCHPRINC], [TRANSPARENCY]) e limita la complessità ([ARCHGUIDEPHIL]). Meno universale su IPv4; usato in intranet con IKEv1; espandibile con IPv6 e IKEv2.

Una o entrambe le estremità possono essere dietro NAT; servono incapsulamento UDP e porte per identificare gli host "dietro" il NAT (sezione 2.23).

1.1.3. Endpoint to Security Gateway in Tunnel Mode

  +-+-+-+-+-+                          +-+-+-+-+-+
  |         |         IPsec            |         |     Protected
  |Protected|         tunnel           |Tunnel   |     Subnet
  |Endpoint |<------------------------>|Endpoint |<--- and/or
  |         |                          |         |     Internet
  +-+-+-+-+-+                          +-+-+-+-+-+

              Figure 3: Endpoint to Security Gateway Tunnel

Un endpoint protetto (es. portatile) torna alla rete aziendale tramite tunnel IPsec. Accesso solo aziendale o tutto il traffico in backhaul per il firewall. Serve un indirizzo associato al security gateway per i pacchetti di ritorno. Statico o dinamico dal gateway. IKEv2 offre configuration payloads per richiedere un indirizzo del gateway per la durata della SA.

Modalità tunnel: header esterno con posizione corrente, interno con indirizzo assegnato dal gateway. Destinazione esterna sempre il gateway; interna la destinazione finale.

Con NAT dietro l'endpoint, indirizzi diversi e incapsulamento UDP (sezione 2.23).

1.1.4. Other Scenarios

Altri scenari e combinazioni annidate sono possibili. Esempio: sottorete che esce tutta tramite gateway remoto e indirizzi instradati verso il gateway; rete domestica con IP statici virtuali e ISP con un solo IP dinamico sul gateway e relay di terzi.

Ultimo aggiornamento il