Das IPv4 Security Protocol (IPv4sec) ist eine standardbasierte Methode, die Datenschutz, Integrität und Authentizität für Informationen bereitstellt, die über IPv4-Netzwerke übertragen werden. IPv4sec bietet Verschlüsselung auf Netzwerkebene. IPv4sec verlängert das IPv4-Paket, indem mindestens ein IPv4-Header (Tunnelmodus) hinzugefügt wird. Die hinzugefügten Header variieren in Abhängigkeit vom IPv4sec-Konfigurationsmodus, überschreiten jedoch nicht
~58 Byte (Encapsulating Security Payload (ESP) and ESP Authentication (ESPauth)) pro Paket.
IPv4sec verfügt über zwei Modi: Tunnelmodus und Transportmodus.
Der Tunnelmodus ist der Standardmodus. Im Tunnelmodus ist das gesamte ursprüngliche IPv4-Paket geschützt (verschlüsselt, authentifiziert oder beides) und von den IPv4sec-Headern und -Trailern gekapselt. Anschließend wird dem Paket ein neuer IPv4-Header vorangestellt, der die IPv4sec-Endpunkte (Peers) als Quelle und Ziel angibt. Der
Tunnelmodus kann für jeden Unicast-IPv4-Datenverkehr verwendet werden und muss verwendet werden, wenn IPv4sec den Datenverkehr von Hosts hinter den IPv4sec-Peers schützt. Der Tunnelmodus wird beispielsweise bei VPNs (Virtual Private Networks)
verwendet, bei denen Hosts in einem geschützten Netzwerk Pakete über ein Paar von IPv4sec-Peers an Hosts in einem anderen geschützten Netzwerk senden. Bei VPNs schützt der IPv4sec-"Tunnel" den IPv4-Datenverkehr zwischen Hosts, indem er diesen Datenverkehr zwischen den IPv4sec-Peer-Routern verschlüsselt.
1.
Im Transportmodus (konfiguriert mit dem Unterbefehl Modus Transport in der
Transformationsdefinition) ist nur die Nutzlast des ursprünglichen IPv4-Pakets geschützt (verschlüsselt, authentifiziert oder beides). Die Nutzlast wird durch die IPv4secHeader und -Trailer gekapselt. Die ursprünglichen IPv4-Header bleiben intakt, mit der Ausnahme, dass das IPv4-Protokollfeld als ESP (50) geändert wird und der ursprüngliche Protokollwert im IPv4sec-Trailer gespeichert wird, um wiederhergestellt zu werden, wenn das Paket
entschlüsselt wird. Der Transportmodus wird nur verwendet, wenn sich der zu schützende IPv4-Datenverkehr zwischen den IPv4sec-Peers selbst befindet, die Quell- und Ziel-IPv4-Adressen im Paket mit den IPv4sec-Peer-Ziel-IPv4-Adressen identisch sind. Normalerweise wird der IPv4sec-Transportmodus nur verwendet, wenn ein anderes Tunneling-Protokoll (wie GRE) verwendet wird, um zuerst das IPv4-Datenpaket zu kapseln. Anschließend wird IPv4sec zum Schutz der GRE-Tunnelpakete verwendet.
2.
IPv4sec führt die PMTUD immer für Datenpakete und für eigene Pakete durch. Es gibt IPv4sec-Konfigurationsbefehle, um die PMTUD-Verarbeitung für das IPv4sec-IPv4-Paket zu ändern.
IPv4sec kann das DF-Bit vom IPv4-Header des Datenpakets löschen, festlegen oder in den IPv4sec-IPv4-Header kopieren. Dies wird als "DF Bit Override Function" bezeichnet.
Hinweis: Sie möchten die Fragmentierung nach der Kapselung wirklich vermeiden, wenn Sie eine Hardwareverschlüsselung mit IPv4sec durchführen. Die Hardwareverschlüsselung ermöglicht einen Durchsatz von etwa 50 Mbit/s, je nach Hardware. Wenn das IPv4sec-Paket fragmentiert ist, verlieren Sie jedoch 50 bis 90 % des Durchsatzes. Dieser Verlust liegt daran, dass die fragmentierten IPv4sec-Pakete zur Reassemblierung weitergeleitet und dann zur Entschlüsselung an das Hardware-Verschlüsselungs-Engine übergeben werden.
Dieser Verlust des Durchsatzes kann dazu führen, dass der Durchsatz bei der
Hardwareverschlüsselung auf das Leistungsniveau der Softwareverschlüsselung (2-10 Mbit/s) absinkt.
Szenario 7
Dieses Szenario zeigt die IPv4sec-Fragmentierung in Aktion. In diesem Szenario beträgt die MTU auf dem gesamten Pfad 1500. In diesem Szenario ist das DF-Bit nicht festgelegt.
Der Router empfängt ein 1500-Byte-Paket (20-Byte-IPv4-Header + 1480 Byte TCP-Nutzlast), das für Host 2 bestimmt ist.
1.
Das 1500-Byte-Paket wird mit IPv4sec verschlüsselt, und es werden 52 Byte Overhead hinzugefügt (IPv4sec-Header, Trailer und zusätzlicher IPv4-Header). Jetzt muss IPv4sec ein 1552-Byte-Paket senden. Da die MTU für ausgehende Anrufe 1.500 beträgt, muss dieses Paket fragmentiert werden.
2.
Aus dem IPv4sec-Paket werden zwei Fragmente erstellt. Während der Fragmentierung wird ein zusätzlicher 20-Byte-IPv4-Header für das zweite Fragment hinzugefügt, was zu einem 1500-Byte-Fragment und einem 72-Byte-IPv4-Fragment führt.
3.
Der IPv4sec-Tunnel-Peer-Router empfängt die Fragmente, entfernt den zusätzlichen IPv4-Header und leitet die IPv4-Fragmente wieder in das ursprüngliche IPv4sec-Paket ein.
4.
Anschließend entschlüsselt IPv4sec dieses Paket.
Der Router leitet dann das ursprüngliche 1500-Byte-Datenpaket an Host 2 weiter.
5.
Szenario 8
Dieses Szenario ähnelt Szenario 6, mit der Ausnahme, dass in diesem Fall das DF-Bit im
ursprünglichen Datenpaket festgelegt ist und es eine Verbindung im Pfad zwischen den IPv4sec-TunnelPeers gibt, die eine niedrigere MTU als die anderen Verbindungen hat. Dieses Szenario zeigt, wie der IPv4sec-Peer-Router beide PMTUD-Rollen ausführt, wie im Abschnitt Der Router als PMTUD-Teilnehmer am Endpunkt eines Tunnels beschrieben.
In diesem Szenario sehen Sie, wie sich die IPv4sec-PMTU aufgrund der erforderlichen Fragmentierung auf einen niedrigeren Wert ändert. Denken Sie daran, dass das DF-Bit vom inneren IPv4-Header in den äußeren IPv4-Header kopiert wird, wenn IPv4sec ein Paket
verschlüsselt. Die MTU- und PMTU-Medienwerte werden in der IPv4sec Security Association (SA) gespeichert. Die Medien-MTU basiert auf der MTU der ausgehenden Router-Schnittstelle, und die PMTU basiert auf der minimalen MTU, die im Pfad zwischen den IPv4sec-Peers zu beobachten ist. Denken Sie daran, dass IPv4sec das Paket kapselt/verschlüsselt, bevor es versucht, es wie im Bild gezeigt zu fragmentieren.
Der Router empfängt ein 1500-Byte-Paket und verwirft es, da der hinzugefügte IPv4sec-Overhead das Paket größer macht als die PMTU (1500).
1.
Der Router sendet eine ICMP-Meldung an Host 1 und teilt ihm mit, dass die Next-Hop-MTU 1442 beträgt (1500 - 58 = 1442). Diese 58 Byte stellen den maximalen IPv4sec-Overhead bei Verwendung von IPv4sec ESP und ESPauth dar. Der tatsächliche IPv4sec-Overhead kann bis zu 7 Byte unter diesem Wert liegen. Host 1 zeichnet diese Informationen in seiner Routing-Tabelle auf, in der Regel als Host-Route für das Ziel (Host 2).
2.
3. Host 1 senkt seine PMTU für Host 2 auf 1442, sodass Host 1 kleinere Pakete (1442 Byte) sendet, wenn er die Daten erneut an Host 2 überträgt. Der Router empfängt das 1442-Byte-3.
Paket, und IPv4sec fügt 52 Byte Verschlüsselungs-Overhead hinzu, sodass das
resultierende IPv4sec-Paket 1496 Byte beträgt. Da für dieses Paket das DF-Bit im Header festgelegt ist, wird es vom mittleren Router mit der 1400-Byte-MTU-Verbindung verworfen.
Der mittlere Router, der das Paket verworfen hat, sendet eine ICMP-Meldung an den
Absender des IPv4sec-Pakets (den ersten Router), die ihm mitteilt, dass die Next-Hop-MTU 1400 Byte beträgt. Dieser Wert wird in der IPv4sec SA-PMTU aufgezeichnet.
4.
Wenn Host 1 das 1442-Byte-Paket das nächste Mal sendet (es hat keine Bestätigung dafür erhalten), verwirft IPv4sec das Paket. Auch hier verwirft der Router das Paket, da der dem Paket hinzugefügte IPv4sec-Overhead das Paket größer als die PMTU (1400) macht.
5.
Der Router sendet eine ICMP-Meldung an Host 1 und teilt ihm mit, dass die Next-Hop-MTU jetzt 1342 beträgt. (1400 - 58 = 1342). Host 1 zeichnet diese Informationen erneut auf.
6.
Wenn Host 1 die Daten erneut sendet, verwendet er das kleinere Paket (1342). Dieses Paket erfordert keine Fragmentierung und wird über den IPv4sec-Tunnel zu Host 2 geleitet.
7.