9.2. Туннели IPsec
IPsec поддерживает защищенную связь через небезопасные потенциально компоненты сети типа промежуточных маршрутизаторов. Протоколы IPsec поддерживают два режима работы — туннельный и транспортный, — которые обеспечивают выполнение широкого спектра требований по безопасности и работу в различных средах. Заголовок протокола защиты в транспортном режиме помещается между заголовком IP (IPv4 или IPv6) и заголовком протокола вышележащего уровня (например, TCP), следовательно в транспортном режиме защита обеспечивается в «сквозном» (между конечными точками) режиме. Туннельный режим IPsec основан на добавлении нового «внешнего» заголовка IP, который инкапсулирует исходный («внутренний») заголовок IP и связанный с ним пакет. Заголовки защиты в туннельном режиме вставляются между «внешним» и «внутренним» заголовками IP. В отличие от транспортного режима «внешний» заголовок IP и заголовки защиты туннельного режима могут удаляться и добавляться на промежуточных узлах вдоль пути соединения, позволяя шлюзам безопасности защищать уязвимые части соединения без необходимости включения конечных точек в обеспечение защиты. Важным свойством туннельного режима в соответствии с исходной спецификацией является отбрасывание внешнего заголовка на выходе туннеля в результате чего угрозы, связанные с изменением заголовков IP не распространяются дальше конечной точки туннеля. Дополнительную информацию о IPsec можно найти в [RFC4301].
Протокол IPsec, изначально определенный в [ESP, AH], требует, чтобы поле ECN внутреннего заголовка не менялось при декапсуляции IPsec в выходном узле туннеля — это требование противоречит возможностям полнофункциональной поддержки ECN. В то же время это обеспечивает защиту от враждебного изменения поля ECN с целью организации атак через конечные точки туннелей IPsec, поскольку в конечной точке все изменения теряются.
В принципе, при разрешении использовать функциональность ECN во внешнем заголовке туннеля IPsec возникают проблемы безопасности, связанные с тем, что враждебные стороны могут искажать информацию, распространяющуюся за пределы конечной точки туннеля. На основе анализа (включен в разделы 18 и 19) этих опасностей мы рекомендуем обеспечивать конфигурационную поддержку для изменений IPsec, позволяющих разрешить конфликт с ECN.
В частности, в туннельном режиме туннель IPsec должен поддерживать опцию ограниченной функциональности, кратко рассмотренную в параграфе 9.1.1, и следует также поддерживать полнофункциональную опцию, описанную в параграфе 9.1.1.
Это делает разрешение на использование функциональности ECN во внешнем заголовке туннеля IPsec настраиваемой частью соответствующей IPsec Security Association, которая может быть отключена в тех случаях, когда риск превышает достигаемые преимущества. В результате администратору безопасности IPsec предоставляется два варианта выбора поведения поддерживающих ECN соединений в туннелях IPsec — с полной и ограниченной функциональностью, как описано выше.
В дополнение к сказанному в этом документе также дается спецификация согласования используемой функциональности ECN между конечными точками туннеля IPsec с учетом политики безопасности. Возможность согласования использования ECN между конечными точками туннеля будет позволять администратору безопасности отключать поддержку ECN в ситуациях, когда возможный риск превышает преимущества от использования ECNECNECN (например, при потере уведомлений о перегрузках).
Протокол IPsec, определенный в [ESP, AH], не включает поля ECN заголовка IP в какие-либо криптографические преобразования (в туннельном режиме внешний заголовок IP не включает поля ECN). Следовательно, изменение поля ECN любым узлом в сети не оказывает влияния на сквозную защиту IPsec, поскольку не позволяет нарушить проверку целостности IPsec. В результате этого IPsec не обеспечивает никакой защиты от враждебного изменения поля ECN (например, от атак MITM), поскольку такие изменения не оказывают влияния на сквозную защиту IPsec. В некоторых средах возможность изменения поля ECN без воздействия на проверку целостности IPsec позволяет создавать скрытые каналы; для предотвращения такой возможности или снижения полосы скрытого канала для туннеля IPsec следует выбирать режим ограниченной функциональности.