2.1. Внутренние проблемы NA(P)T-модулей
К этой категории проблем относятся следующие проблемы:
Несовместимость между IPsec/АН-протоколом (RFC-2402) и NAT-модулями. Так как АН-заголовок включает в свой состав IP-адреса источника и получателя сообщения, защищенные с помощью процедуры вычисления проверочной суммы с использованием ключевой информации, а выходной и входной NAT-модули вносят изменения адресные поля IP-заголовка, то тогда значение в поле проверочной суммы не пройдет контрольную проверку и IP-пакет будет уничтожен. Так как ESP-заголовок (RFC-2406) не включает в свой состав IP-адреса источника и получателя сообщения, защищенные с помощью процедуры вычисления проверочной суммы с использованием ключевой информации, то для IPsec/ESP-протокола такой проблемы не существует.
Несовместимость между процедурой вычисления проверочных сумм и NAT-модулями. Значения проверочных сумм ТСР/UDP-протоколов зависят IP-адресов источника и получателя сообщения, так как эти IP-адреса включаются в «псевдо-заголовок» при вычислении проверочных сумм. Следовательно, если IP-пакеты транслировались через выходной и входной NAT-модули, то тогда проверочные суммы, которые будут верифицироваться в приемных модулях, не пройдут эту проверку.
Однако, при использовании IPsec/ESP-протокола складывается противоположная ситуация, то есть когда сообщения этого протокола транслируются через NAT-модули, если конечно не используются ТСР/UDP-протоколы (то есть используется сквозной IPsec-туннель или IPsec-сообщения защищаются с помощью GRE-процедуры (generic routing encapsulation), то есть общей процедуры повторного обрамления при маршрутизации IP-пакетов) или не вычисляются проверочные суммы (как это может быть при использовании UDP-протокола и IPv4-адресации). В соответствии со стандартом RFC-793, который специфицирует ТСР-протокол, проверочная сумма должна обязательно вычисляться и верифицироваться при использовании IPv4-адресации. При использовании IPv6-адресации, проверочная сумма ТСР/UDP-протоколов должна всегда вычисляться и верифицироваться.
В протоколе передаче данных на основе управления потоком (Stream Control Transmission Protocol — SCTP, RFC-2960 и RFC-3309) используется алгоритм вычисления контрольной суммы «CRC32C», которая рассчитывается только для SCTP-пакета (общий заголовок и блоки данных), и при этом IP-заголовок не участвует в определении «CRC32C». Следовательно, NAT-модули не влияют на значение контрольной суммы SCTP-протокола, а значит и нет проблемы несовместимости.
Замечание. Так как IPsec-протоколы, функционирующие в транспортном режиме, обеспечивают криптографические алгоритмы защиты целостности и аутентификации трафика, то тогда все изменения в IP-пакете могут быть выявлены еще до верификации проверочных сумм ТСР/UDP-протоколов. Таким образом, верификация проверочных сумм обеспечивает гарантированную защиту только от ошибок, возникающих на этапе внутренней обработки сообщений.