Modo de túnel IPSec vs modo de transporte vs transporte + L2TP

1

De acordo com muitos documentos, o modo de transporte deve ser usado no IPSec host-a-host, enquanto o tunelamento é usado para conectar gateways e o L2TP é usado para acesso remoto.

Mas nada me impede de usar o modo de transporte em gateway-a-gateway, certo? Um gateway pode ler ESP (ou AH), removê-lo e encaminhar o pacote IP à sua rede.

E eu também posso usar o modo de tunelamento entre o meu PC e o servidor de banco de dados. É provavelmente redundante envolver cada pacote em UDP separado, mas utilizável.

E eu posso usar o IPSec (sem L2TP) para acesso remoto se eu for o único usuário no meu PC. Eu não vou ter contabilidade, configuração de rede via IPCP e outras coisas PPP, mas nem sempre é necessário.

Afinal, o L2TP pode ser usado para conectar 2 gateways;)

Então, minha pergunta é por que todas essas abordagens existem e se duplicam? Por que o transporte IPSec ainda existe se quase sempre ele poderia ser alterado para tunelamento e vice-versa? Você poderia me dar um exemplo de situação quando um desses métodos é "o único a ser usado"?

    
por user996142 19.05.2015 / 16:53

2 respostas

1

Why IPSec transport still exist if almost always it could be changed to tunneling and vice versa?

Não vejo o IPSec do modo de transporte usado na população geral de usuários de dispositivos em rede hoje. Eu acho que nunca construiu impulso suficiente para ser implantado universalmente. Os fornecedores de software e de rede tinham motivação para vender implementações do modo de encapsulamento (além de extensos back-ends) para clientes corporativos com necessidade de acesso remoto, mas não enviavam o modo de transporte para ninguém. As capacidades podem ter existido, mas a facilidade de uso ainda deixa muito a desejar.

Então existe, mas ainda é relevante? O modo de transporte historicamente não era acessível a um grande número de usuários. Uma exceção foi o pessoal do software livre.

Histórico e status de implementação de criptografia oportunista para IPsec

O link acima descreve o esforço histórico para colocar o IPSec em uso em todos os lugares e como esses esforços foram bloqueados. As razões podem ser resumidas como a insegurança da infraestrutura da Internet (ou seja, DNS) e a relativa complacência dos envolvidos em alterá-la.

why do all these approaches exist and duplicate each other?

Todas essas abordagens existem principalmente devido à identificação independente e à solução de variações da necessidade de acesso remoto seguro, aproximadamente no mesmo período de tempo. Uma versão ligeiramente melhorada da sua pergunta pode ser "por que todas essas abordagens ainda estão em uso?"

Você respondeu sua própria pergunta sobre por que o L2TP ainda está em uso: contabilidade e configuração. (pode ser mais interessante ver por que outros protocolos, como o PPTP, não estão mais em uso.) Em muitos casos, mesmo que você não se importe com contabilidade e configuração,

Em outros casos, a resposta não é tão clara. Pegue o caso de gateway para gateway. Você pode usar o IPSec de modo de túnel puro ou usar túneis GRE sobre IPSec (na verdade, acredito que eles estejam no modo de transporte IPSec). Eu não sei se existe alguma vantagem de um jeito ou de outro além da familiaridade. Pessoalmente, eu nunca configurei o IPSec no modo de túnel em um roteador Cisco. Eu sempre fiz GRE criptografado. Por quê? Porque tudo o que sei sobre GRE simples aplica-se ao GRE criptografado. Então é familiar para mim.

Não esqueça de VPNs / Túneis em nível de aplicativo, como o OpenVPN ou o Secure Shell. Geralmente, eles têm um desempenho pior do que implementações no nível do kernel ou do appliance. Mas eles eram (e são) geralmente mais fáceis de usar e tinham a vantagem de passar mais facilmente por proxies e firewalls (pelo menos até o advento da inspeção profunda de conteúdo). Além disso, eles geralmente têm menos dependências; é muito mais fácil compilar o OpenVPN em um servidor Linux antigo do que recompilar o kernel para suportar o IPSec.

Could you give me example of situation when one of these methods is "the only right one to use"?

Na rede (como na computação), você nunca verá "o único a usar". Na maioria dos casos, você está preso com o que é viável. Por exemplo, todos os dispositivos Android funcionam com VPNs baseadas em L2TP. Então, isso é viável, mesmo que você não precise de configuração ou contabilidade. A familiaridade que tenho com túneis GRE em dispositivos Cisco facilita a implementação do IPSec do modo de túnel puro. E eu posso fazer um OpenVPN ou um túnel baseado em SSH em um antigo servidor Linux que não posso atualizar (por algum motivo ou outro).

    
por 24.08.2017 / 20:21
0
  • Túnel IPsec vs. modo de transporte
    • o modo de túnel tem mais sobrecarga
    • o modo de transporte funciona apenas entre hosts, porque o wrapping não contém um conjunto extra de endereços IP
  • sobrecarga é um problema?
    • imagine um horário em que os hosts estabelecem uma associação de IPsec entre si antes de qualquer comunicação ** IPsec estaria em toda parte ** no modo de túnel, os endereços IP seriam duas vezes em cada pacote → desperdício de recursos
por 23.01.2016 / 18:54