Descripción del procesamiento de paquetes IPsec e ICR de IPv6
Este tema incluye las siguientes secciones:
Procesamiento de paquetes del ICR IPv6
Intercambio de claves por red (ICR) forma parte del conjunto IPsec de protocolos. Habilita automáticamente dos extremos de túnel para configurar asociaciones de seguridad (SA) y negociar claves secretas entre sí. No es necesario configurar manualmente los parámetros de seguridad. ICR también proporciona autenticación para los elementos del mismo nivel que se comunican.
El procesamiento de paquetes ICR en redes IPv6 incluye los siguientes elementos:
Carga de identificación del Protocolo de administración de claves e Asociación de seguridad de Internet (ISAKMP)
La carga de identificación de ISAKMP se utiliza para identificar y autenticar los interlocutores IPv6 que se comunican. Se habilitan dos tipos de ID (ID_IPV6_ADDR y ID_IPV6_ADDR_SUBNET) para IPv6. El tipo de ID. indica el tipo de identificación que se va a utilizar. El tipo de ID_IPV6_ADDR especifica una dirección IPv6 única de 16 octetos. Este tipo de identificador representa una dirección IPv6. El tipo ID_IPV6_ADDR_SUBNET especifica un rango de direcciones IPv6 representadas por valores de 2 16 octetos. Este tipo de identificador representa una máscara de red IPv6. Tabla 1 enumera los tipos de identificador y sus valores asignados en la carga de identificación.
Tabla 1: Tipos de IDENTIFICADOres ISAKMP y sus valores
ID (tipo)
Valor
Reservados
0
ID_IPV4_ADDR
1
ID_FQDN
2
ID_USER_FQDN
3
ID_IPV4_ADDR_SUBNET
4
ID_IPV6_ADDR
5
ID_IPV6_ADDR_SUBNET
6
ID_IPV4_ADDR_RANGE
7
ID_IPV6_ADDR_RANGE
8
ID_DER_ASN1_DN
9
ID_DER_ASN1_GN
10
ID_KEY_ID
11
ID_LIST
12
El tipo ID_IPV6_ADDR_RANGE especifica un rango de direcciones IPv6 representadas por valores de 2 16 octetos. El primer valor de octeto representa la dirección IPv6 de inicio y el segundo valor de octetos representa la dirección IPv6 final del intervalo. Todas las direcciones IPv6 que se encuentren entre la primera y la última dirección IPv6 se consideran parte de la lista.
Nota En esta versión no se admiten dos tipos de ID. en la carga de identificación de ISAKMP (ID_IPV6_ADDR_RANGE y ID_IPV4_ADDR_RANGE).
ID de proxy
Un ID de proxy se utiliza durante la fase 2 de ICR negociación. Se genera antes de que se establezca un túnel IPsec. Un ID de proxy identifica la SA que se utilizará para la VPN. Dos ID proxy se generan—como local y remoto. El ID de proxy local se refiere a las direcciones IPv4 o IPv6, red y máscara de subred locales. El ID de proxy remoto hace referencia a las direcciones IPv4 o IPv6, red y máscara de subred remotas.
Asociación de seguridad
Una SA es un acuerdo entre los participantes de VPN para apoyar la comunicación segura. Las SA se diferencian según tres—parámetros índice de parámetro de seguridad (SPI), dirección IPv6 de destino y Protocolo de seguridad (ah o ESP). El SPI es un valor único asignado a una SA para ayudar a identificar una SA entre varias SA. En un paquete IPv6, la SA se identifica desde la dirección de destino en el encabezado IPv6 externo y el protocolo de seguridad se identifica desde el encabezado AH o el de ESP.
Procesamiento de paquetes IPsec IPv6
Después de completar ICR negociaciones y de que las dos puertas de enlace ICR han establecido una de las SA de las fases 1 y 2, IPv6 IPsec emplea las tecnologías de autenticación y cifrado para proteger los paquetes IPv6. Dado que las direcciones IPv6 tienen una longitud de 128 bits, en comparación con las direcciones IPv4, que tienen una longitud de 32 bits, el procesamiento de paquetes IPsec IPv6 requiere más recursos.
No se admite la reordenación de paquetes para fragmentos IPv6 a través de un túnel.
Los dispositivos con direccionamiento IPv6 no realizan fragmentación. Los hosts de IPv6 deben realizar el descubrimiento de MTU de ruta o enviar paquetes más pequeños que el tamaño de MTU mínimo de IPv6 de 1280 bytes.
Este tema incluye las siguientes secciones:
Protocolo AH en IPv6
El protocolo AH proporciona integridad de datos y autenticación de datos para paquetes de IPv6. IPsec IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) que deben organizarse de una manera determinada en el datagrama IPv6. En el modo de túnel AH, el encabezado AH sigue inmediatamente al nuevo encabezado IPv6 externo, similar al que aparece en el modo de túnel AH de IPv4. Los encabezados de extensión se colocan después del encabezado interno original. Por lo tanto, en el modo de túnel AH, todo el paquete se encapsula mediante la adición de un nuevo encabezado IPv6 externo, seguido de un encabezado de autenticación, un encabezado interno, encabezados de extensión y el resto del datagrama Figura 1original, tal como se muestra en la.
A diferencia de lo que ocurre con ESP, el algoritmo de autenticación de AH abarca tanto al encabezado externo como a cualquier otro encabezado o opción de extensión.
El modo de túnel AH en serie SRX dispositivos no admite las opciones mutables de IPv4 ni los encabezados de extensión mutables IPv6. Consulte Tabla 2la.
Protocolo ESP en IPv6
El protocolo ESP proporciona cifrado y autenticación para paquetes de IPv6. Dado que IPsec IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) en el datagrama IPv6, la diferencia más importante entre el modo de túnel IPv6 ESP y el modo de túnel IPv4 ESP radica en la colocación de los encabezados de extensión en el diseño de paquetes. En el modo de túnel ESP, el encabezado ESP sigue inmediatamente al nuevo encabezado IPv6 externo, similar al del modo de túnel IPv4 ESP. Por lo tanto, en el modo de túnel ESP, todo el paquete se encapsula mediante la adición de un nuevo encabezado IPv6 externo, seguido de un encabezado ESP, un encabezado interno, encabezados de extensión y el resto del datagrama original Figura 2tal y como se muestra en.
Opciones de IPv4 y encabezados de extensión de IPv6 con AH y ESP
Se pueden recibir paquetes IPsec con opciones IPv4 o encabezados de extensión de IPv6 para decapsulation en dispositivos serie SRX. Tabla 2 muestra las opciones de IPv4 o los encabezados de extensión de IPv6 que se admiten con el protocolo ESP o ah en los dispositivos serie SRX. Si se recibe un paquete IPsec no compatible, se produce un error en el cálculo de ICV y se descarta el paquete.
Tabla 2: Compatibilidad con opciones de IPv4 o encabezados de extensión de IPv6
Encabezados de opciones o extensión | SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM | Dispositivos SRX5400, SRX5600 y SRX5800 |
|---|---|---|
Opciones ESP con IPv4 | Posible | Posible |
ESP con encabezados de extensión de IPv6 | Posible | Posible |
AH con IPv4, opciones invariables | Posible | Posible |
AH con encabezados de extensión invariable IPv6 | Posible | Posible |
AH con opciones mutables de IPv4 | No compatible | No compatible |
AH con encabezados de extensión mutable IPv6 | No compatible | No compatible |
Cálculo del valor de comprobación de integridad en IPv6
El protocolo AH comprueba la integridad del paquete IPv6 mediante el cálculo de un valor de comprobación de integridad (ICV) en el contenido del paquete. El ICV se suele crear sobre un algoritmo de autenticación, como MD5 o SHA-1. Los cálculos de ICV de IPv6 varían con respecto a IPv4 en lo que se—refiere a dos campos de encabezado encabezado mutable y un encabezado de extensión opcional.
Puede calcular el AH ICV sobre los campos de encabezado de IPv6 que son inmutables en tránsito o previsibles en el valor cuando llega en los extremos de túnel. También puede calcular el AH ICV sobre el encabezado AH y los datos de protocolo de alto nivel (considerados inmutables durante la transmisión). Puede calcular la ICV de ESP en todo el paquete IPv6, excluyendo el nuevo encabezado IPv6 externo y los encabezados de extensión opcionales.
A diferencia de IPv4, IPv6 cuenta con un método para marcar opciones como mutables en el tránsito. IPv6 los encabezados de extensión opcionales contienen un indicador que indica la mutabilidad. Este indicador determina el procesamiento adecuado.
Las opciones variables de IPv4 y los encabezados de extensión de IPv6 no son compatibles con el protocolo AH.
Construcción de encabezado en modos de túnel
En el modo de túnel, las direcciones de origen y destino del encabezado IPv4 o IPv6 externo representan los extremos del túnel, mientras que las direcciones de origen y de destino del encabezado IPv4 o IPv6 interno representan las direcciones de origen y destino finales. Tabla 3 resume cómo se relaciona el encabezado IPv6 externo con el encabezado interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv6 o IPv4-in-IPv6. En los campos de encabezado “exteriores” , construido significa que el valor del campo de encabezado exterior se construye independientemente del valor del campo de encabezado interno.
Tabla 3: Construcción de encabezado IPv6 para los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6
Los campos de encabezado | Encabezado exterior en encapsulador | Encabezado interno en Decapsulator |
|---|---|---|
versi | 6. | Ningún cambio. |
Campo DS | Copiado de la cabecera interna. | Ningún cambio. |
Campo ECN | Copiado de la cabecera interna. | Elabora. |
etiqueta de flujo | 0. | Ningún cambio. |
longitud de carga útil | Elabora. | Ningún cambio. |
siguiente encabezado | AH, ESP, y encabezado de enrutamiento. | Ningún cambio. |
límite de saltos | 64. | Disminución. |
Dirección de origen | Elabora. | Ningún cambio. |
Dirección de destino | Elabora. | Ningún cambio. |
Encabezados de extensión | Nunca se copió. | Ningún cambio. |
Tabla 4resume cómo se relaciona el encabezado IPv4 exterior con el encabezado interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv4 o IPv4-en-IPv4. En los campos de encabezado “exteriores” , construido significa que el valor del campo de encabezado exterior se construye independientemente del valor del campo de encabezado interno.
Tabla 4: Construcción de encabezado IPv4 para los modos de túnel IPv6-en-IPv4 y IPv4-en-IPv4
Los campos de encabezado | Encabezado exterior | Encabezado interno |
|---|---|---|
versi | 4. | Ningún cambio. |
longitud del encabezado | Elabora. | Ningún cambio. |
Campo DS | Copiado de la cabecera interna. | Ningún cambio. |
Campo ECN | Copiado de la cabecera interna. | Elabora. |
longitud total | Elabora. | Ningún cambio. |
ID | Elabora. | Ningún cambio. |
indicadores (DF, MF) | Elabora. | Ningún cambio. |
desplazamiento de fragmento | Elabora. | Ningún cambio. |
PERIODO | 64. | Disminución. |
Protocolo | AH, ESP | Ningún cambio. |
MD5 | Elabora. | Elabora. |
Dirección de origen | Elabora. | Ningún cambio. |
Dirección de destino | Elabora. | Ningún cambio. |
Opciones | Nunca se copió. | Ningún cambio. |
Para el modo de túnel IPv6 en IPv4, el bit’Don t FRAGMENT (DF) está desactivado de forma predeterminada. Si las df-bit set opciones df-bit copy o se configuran enedit security ipsec vpn vpn-nameel nivel de jerarquía [] para el correspondiente VPN de IPv4, se establecerá el bit DF en el encabezado de IPv4 exterior.
Para el modo de túnel IPv4 en IPv4, el bit DF del encabezado IPv4 exterior se basa en la df-bit opción configurada para el encabezado IPv4 interno. Si df-bit no se configura para el encabezado IPv4 interno, el bit DF se borra en el encabezado IPv4 exterior.