IPSec. Туннельный и транспортный режим протокола AH, в чём отличие и смысл?
Читаю про IPSec, дошёл до режимов работы протокола AH. Не могу понять смысла транспортного режима.
Как я понял транспортный режим в AH позволяет удостовериться только в подлинности данных IP-пакета (например заголовка TCP и его содержимого), но оставляет эти данные открытыми - то есть любой их может прочитать и например узнать адреса источника и назначения данного пакета. Может конечно подменить данные, но они потом при обработке IPSec'ом не пройдут проверку подлинности и будут отброшены. Но в то же время может изменить заголовок IP-пакета и отправить пакет куда хочет (верно понимаю что хоть в таком случае целостность будет побита, но данные то целы их всяк можно прочесть?)
Теперь вопрос в логике туннельного режима в протоколе AH. Написано: чтобы скрыть данные об источнике и назначении в пакете, протокол AH использует туннельный режим и обеспечивает целостность уже на уровне IP-заголовка (ну и конечно же TCP+дата). AH вставляет новый IP-хедер перед всем пакетом, и делает имитовставку, просчитывая при этом новый хеш уже пакета с двумя IP-заголовками: старым и новым.
И смысл? Неужели также нельзя будет прочитать скрытый заголовок IP-пакета (перенаправив пакет на свой адрес), ведь он всё равно не шифруется? Или я что-то не правильно понимаю?
Назначение AH не в сокрытии информации, а в сохранении её целостности. Туннельный режим позволит обеспечить site-to-site (не обязательно) связь с защитой от изменения заголовка и содержимого инкапсулируемых пакетов.
Перефразирую вопрос, видимо я плохо его смог донести)
Как я понимаю, AH не предоставляет возможности шифровать пакет, шифровкой занимается ESP. В случае который вы описали, видимо предполагается что используются AH+ESP - то есть шифруется весь пакет с помощью ESP и дополняется аутентификация с помощью AH.
Я в свою очередь интересуюсь только применением AH, без шифрации протоколом ESP. Представьте, что мы используем только AH.
Тогда какая разница между туннельным и транспортным режимах AH, с точки зрения безопасности? Ведь в обоих случаях мы добавляем имитовставку которая позволяет удостовериться в целостности, и в то же время в обоих случаях мы можем за счёт открытости данных узнать адреса источника и назначения.
Gudsaf: да, прошу простить за невнимательность. Назначение AH не в сокрытии информации, а в сохранении её целостности, поэтому туннельный режим не обеспечит большей безопасности. Но, аналогично ESP, туннельный режим просто позволит обеспечить site-to-site связь.
Безопасность будет лишь в том, что невозможно будет подменить реальных получателей и отправителей, либо изменить любые другие заголовки инкапсулируемого пакета.
Средний