Índice
Discussão sobre questões de IPSec NAT: questões de compatibilidade entre IPSEC e NAT
1. Problemas de compatibilidade de porta
2. Resolva problemas de compatibilidade
3. Problemas de soma de verificação e compatibilidade NAT
Introdução ao IPSEC NAT Traversal (NAT-T) em IKE
2. A negociação IKE usa encapsulamento UDP
2. Negociação de encapsulamento UDP
Encapsulamento UDP IPSEC ESP análise NAT transversal
1. Processo de encapsulamento de mensagens
2. Processo de desencapsulamento de mensagens
Discussão sobre questões de IPSec NAT: questões de compatibilidade entre IPSEC e NAT
1. Problemas de compatibilidade de porta
As portas de origem e de destino usadas pelo IKE são ambas UDP 500. Se houver tradução de porta, a porta de origem do IKE pode ser alterada. Se o respondente determinar que a porta não é UDP 500, pode haver um problema que a primeira fase do A negociação IPSEC falha.
2. Resolva problemas de compatibilidade
Quando os endereços IP são encapsulados dentro de pacotes e algumas informações de endereço são negociadas, se os pacotes forem transmitidos em texto não criptografado, o ALG pode ser habilitado no dispositivo NAT para verificar e modificar o conteúdo desses pacotes, como os protocolos FTP e H.323. No entanto, uma vez habilitado o IPSEC, o gateway NAT não consegue detectar a passagem dos pacotes após a criptografia ESP dos pacotes, portanto o endereço interno do pacote não pode ser modificado, o que significa que há um problema de coexistência.
3. Problemas de soma de verificação e compatibilidade NAT
Como o cálculo das somas de verificação em TCP e UDP depende dos endereços de origem e destino nos pacotes IP, se a soma de verificação TCP ou UDP não for modificada no gateway NAT, a verificação da soma de verificação falhará. Na ausência de IPSEC, os dispositivos NAT podem modificar as somas de verificação TCP e UDP. Porém, após a habilitação do IPSEC, os pacotes de dados são criptografados pelo ESP e o conteúdo não pode ser visto, portanto não pode ser modificado.
Em pacotes IPv4, a soma de verificação UDP é opcional, mas o TCP é obrigatório.No entanto, em pacotes IPv6, as somas de verificação de pacotes TCP e UDP são necessárias. Portanto, a soma de verificação também é problemática para IPSEC em NAT.
Introdução ao IPSEC NAT Traversal (NAT-T) em IKE
I. Visão geral
O IPSec fornece segurança de comunicação IP de ponta a ponta, mas o suporte para IPSec em um ambiente NAT é limitado. O protocolo AH definitivamente não é capaz de executar NAT. Isso é contrário ao conceito de design do AH; agora ele está encapsulado em UDP através do ESP No pacote, vários hosts podem estabelecer túneis IPSEC com pares externos.
2. A negociação IKE usa encapsulamento UDP
RFC3947 descreve principalmente como detectar a presença de um dispositivo NAT e como negociar o uso de UDP em IKE para encapsular pacotes IPSec.
1. Teste de habilidade
A função é detectar se existe um dispositivo NAT na comunicação e se a outra parte suporta NAT-T. A detecção da capacidade NAT-T ocorre na primeira fase da negociação IKE. E é concluído nos dois pacotes de mensagens 1 e 2 da primeira fase, adicionando uma carga útil de ID do fornecedor à garantia da mensagem, que é definida na RFC3947. O valor é um número hexadecimal após passar pelo algoritmo hash: vendor_id= 0x4a 0x13 0x1c 0x81 0x7 0x3 0x58 0x45 0x5c 0x57 0x28 0xf2 0xe 0x95 0x45 0x2f.Este valor é consistente no primeiro e no segundo pacotes e é usado para detectar se o peer suporta NAT-T. Quando o pacote IKE recebido carrega esse valor, indica que o dispositivo peer suporta NAT-T.
A principal função das mensagens 3 e 4 do primeiro estágio é negociar e confirmar se ocorreu uma transferência NAT durante o processo de transmissão. Na mensagem de negociação, ambas as partes devem enviar pelo menos duas cargas NAT-D. A primeira carga é o hash do endereço e porta da outra parte, e a carga subsequente é seu próprio endereço e porta. Se houver vários endereços locais, vários Cargas úteis NAT-D devem ser enviadas. Uma carga útil, incluindo o HASH de todos os endereços e portas. Depois de receber a carga útil, a outra parte recalcula o valor HASH com base na porta de endereço real do pacote recebido e o compara. Então você pode saber se existe um dispositivo NAT e qual parte está por trás do dispositivo NAT. Se o valor do hash negociado entre os pares IPSEC for igual ao valor do hash recebido, significa que não há NAT entre eles. Caso contrário, o endereço e a porta serão traduzidos durante a transmissão.
O mecanismo de negociação é mostrado na figura abaixo:
2. Negociação de encapsulamento UDP
Existem dois métodos de encapsulamento UDP, um é o encapsulamento do modo de canal UDP e o outro é o encapsulamento do modo de transmissão UDP, respectivamente expresso da seguinte forma:
Túnel encapsulado em UDP
Transporte encapsulado UDP
Encapsulamento UDP IPSEC ESP análise NAT transversal
1. Processo de encapsulamento de mensagens
Primeiro, a mensagem original é encapsulada ESP de acordo com o processo comum de encapsulamento de mensagem ESP, em seguida, um cabeçalho de mensagem UDP é inserido na parte vermelha conforme mostrado na figura abaixo e, finalmente, um novo cabeçalho de mensagem IP é inserido e o cabeçalho IP de a mensagem final é calculada. Campos variáveis, como comprimento total, ID do protocolo, soma de verificação, etc.
2. Processo de desencapsulamento de mensagens
Primeiro, remova o cabeçalho UDP na figura acima, recalcule os campos variáveis na votação IP e, em seguida, execute o processo normal de desencapsulação ESP.