Según muchos documentos, el modo de transporte debe usarse en IPSec de host a host, mientras que el túnel se usa para conectar puertas de enlace y L2TP se usa para acceso remoto.
Pero nada me impide utilizar el modo transporte de puerta de enlace a puerta de enlace, ¿verdad? Una puerta de enlace puede leer ESP (o AH), eliminarlo y enrutar paquetes IP desnudos a su red.
Y también puedo usar el modo de túnel entre mi PC y el servidor de base de datos. Probablemente sea redundante envolver cada paquete en UDP por separado, pero es utilizable.
Y puedo usar IPSec simple (sin L2TP) para acceso remoto si soy el único usuario en mi PC. No tendré contabilidad, configuración de red vía IPCP y otras cosas de PPP, pero no siempre es necesario.
Después de todo, L2TP podría usarse para conectar 2 puertas de enlace;)
Entonces, mi pregunta es ¿por qué existen todos estos enfoques y se duplican entre sí? ¿Por qué todavía existe el transporte IPSec si casi siempre se puede cambiar a túneles y viceversa? ¿Podría darme un ejemplo de una situación en la que uno de estos métodos sea "el único correcto a utilizar"?
Respuesta1
¿Por qué todavía existe el transporte IPSec si casi siempre se puede cambiar a túneles y viceversa?
No veo que el modo de transporte IPSec se utilice en la población general de usuarios de dispositivos en red en la actualidad. Creo que nunca cobró suficiente impulso para ser implementado universalmente. Los proveedores de software y redes tenían motivación para vender implementaciones del modo Túnel (además de amplios backends) a clientes empresariales con necesidad de acceso remoto, pero no ofrecieron el modo Transporte a nadie. Es posible que las capacidades existieran, pero la facilidad de uso aún deja mucho que desear.
Entonces existe, pero ¿sigue siendo relevante? Históricamente, el modo de transporte no era accesible para una gran cantidad de usuarios. Una excepción fue la gente del software libre.
Historial y estado de implementación del cifrado oportunista para IPsec
El enlace anterior describe el esfuerzo histórico para poner IPSec en uso en todas partes y cómo esos esfuerzos fueron bloqueados. Las razones se pueden resumir en la inseguridad de la infraestructura de Internet (es decir, DNS) y la relativa complacencia de los involucrados para cambiarla.
¿Por qué existen todos estos enfoques y se duplican entre sí?
Todos estos enfoques existen principalmente debido a la identificación independiente y la solución de variaciones de la necesidad de acceso remoto seguro, aproximadamente en el mismo período de tiempo. Una versión ligeramente mejorada de su pregunta podría ser "¿por qué todavía se utilizan todos estos enfoques?"
Ha respondido su propia pregunta sobre por qué L2TP todavía está en uso: contabilidad y configuración. (Puede ser más interesante ver por qué otros protocolos, como PPTP, ya no se utilizan). En muchos casos, incluso si no le importa la contabilidad y la configuración,
En otros casos la respuesta no es tan clara. Tomemos el caso de puerta de enlace a puerta de enlace. Podría usar IPSec en modo Túnel puro, o usar túneles GRE sobre IPSec (de hecho, creo que están sobre IPSec en modo Transporte). No sé si hay alguna ventaja en un sentido u otro además de la familiaridad. Personalmente, nunca configuré IPSec en modo túnel en un enrutador Cisco. Siempre he hecho GRE cifrado. ¿Por qué? Porque todo lo que sé sobre GRE simple se aplica al GRE cifrado. Entonces me resulta familiar.
No olvide las VPN/túneles a nivel de aplicación, como OpenVPN o Secure Shell. Por lo general, tienen un rendimiento más deficiente que las implementaciones a nivel de kernel o dispositivo. Pero eran (y son) generalmente más fáciles de usar y tenían la ventaja de atravesar más fácilmente servidores proxy y firewalls (al menos hasta la llegada de la inspección profunda de contenido). Además, suelen tener menos dependencias; Es mucho más fácil compilar OpenVPN en un servidor Linux antiguo que recompilar el kernel para que admita IPSec.
¿Podría darme un ejemplo de una situación en la que uno de estos métodos sea "el único correcto a utilizar"?
En las redes (como ocurre con muchas otras cosas en la informática), nunca verá "el único correcto para usar". En la mayoría de los casos, uno se queda estancado en lo que es factible. Por ejemplo, todos los dispositivos Android funcionan con VPN basadas en L2TP. Esto es factible, incluso si no necesita configuración ni contabilidad. La familiaridad que tengo con los túneles GRE en dispositivos Cisco hace que me resulte más fácil implementarlos que el IPSec en modo túnel puro. Y puedo crear un túnel OpenVPN o basado en SSH en un servidor Linux antiguo que no puedo actualizar (por alguna razón u otra).
Respuesta2
- Túnel IPsec versus modo de transporte
- El modo túnel tiene más gastos generales.
- El modo de transporte solo funciona entre hosts, porque el paquete no contiene un conjunto adicional de direcciones IP.
- ¿Los gastos generales son un problema?
- Imagine un momento en el que los hosts establecen una asociación IPsec entre sí antes de cualquier comunicación ** IPsec estaría en todas partes ** en modo túnel las direcciones IP estarían dos veces en cada paquete → desperdicio de recursos