web-dev-qa-db-ja.com

IPSec AH + ESP一緒に使用

ESPとAHが同じパケットで一緒に使用される場合(ESPトランスポート、AHトランスポート)は、ESP AHのハッシュを暗号化するか、または晴れ?

ハッシュが暗号化されていない場合、明らかにセキュリティ上の影響があります(AHが認証情報の整合性を保証していないなど)

AHはESPヘッダーの前にあり、ESPトランスポートモードでの暗号化は、ESPヘッダー(SPIおよびシーケンス)。

これらは通常一緒に使用されないことを知っています。それは関係ありません。また、ESPトンネルモードはオプションの認証(メッセージ本文の後のセグメントで)をサポートしています)もここでは関係ないことを知っています。

4
gal

AHヘッダーprecedes ESPヘッダーを両方に適用する場合)はすでに述べました。したがって、ESPヘッダーは効果がありませんただし、AHヘッダーを使用してトランスポートモードを使用するときにIPヘッダーを保護し、両方のモードでESPヘッダーを保護することができます。ただし、これはあまり一般的ではなく、各方向に追加のセキュリティアソシエーションが必要になるため、双方向接続がある場合、SAは2つではなく4つになります。

さらに、AHで使用されるハッシュは暗号化ハッシュです。キーを知らなければ、変更/再計算できません。

3
scai