RFC: 3715
Оригинал: IPsec-Network Address Translation (NAT) Compatibility Requirements
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич
  • Обеспечение необходимого функционального режима

    Как минимум, решение, обеспечивающее IPsec/NAT-совместимость, должно обеспечивать прозрачность при доставке IKE- и IPsec-пакетов в необходимых режимах в соответствии со стандартами RFC-2409 и RFC-2401. Например, IPsec-шлюз должен обеспечивать доставку IPsec-пакетов в РТУ через NA(P)T-модуль, а IPsec-узел должен обеспечивать доставку IPsec-пакетов в РТР через NA(P)T-модуль. Целью АН-протокола является защита неизменяемых полей в IP-заголовке (включая IP-адреса), а NA(P)T-модуль преобразует эти адреса, что приводит к отрицательному результату при проверке целостности АН-заголовка. В итоге, NA(P)T-модуль и АН-протокол абсолютно несовместимы и это означает, что нет требований к решению, обеспечивающее IPsec/NAT-совместимость, чтобы оно поддерживало АН-протокол в РТР или РТУ.

  • Обратная совместимость и способность взаимодействия

    Решение, обеспечивающее IPsec/NAT-совместимость, должно быть способно взаимодействовать с существующими прикладными программными IKE/IPsec-модулями, причем так, чтобы они могли взаимодйствовать друг с другом и там, где нет NA(P)T-модуля. Это означает, что решение, обеспечивающее IPsec/NAT-совместимость, должно обеспечивать обратную совместимость IPsec- и IKE-протоколами (RFC-2401 и RFC-2409). Кроме этого, оно должно обладать способностью определять наличие NA(P)T-модулей, и поэтому обеспечение прозрачности доставки IP-пакетов через NA(P)T-модули должно использоваться только тогда, когда это необходимо. Это означает, что решение, обеспечивающее IPsec/NAT-совместимость, должно быть способно в начале определить существующие прикладные программные IKE-модули, которые не обеспечивают прозрачную передачу сообщений через NA(P)T-модули, и затем обеспечить проведение стандартных процедур согласования IKE-протокола (RFC-2407, RFC-2408 и RFC-2409).

    Замечание. Насмотря на то, что все выше сказанное означает начало процедуры согласования IKE-протокола с порта транспортного уровня с номером «500», не существует требования об обязательном использовании этого специального номера транспортного порта, и поэтому UDP-порт с номером «500» может использоваться или может не использоваться.

  • Безопасность

    Решение, обеспечивающее IPsec/NAT-совместимость, не должно снижать уровень безопасности, обеспечиваемый IPsec- и IKE-протоколами. Например, приемлемое решение должно демонстрировать, что оно не снижает уровень защищенности от атак типа «отказ в обслуживании» или «маскарад». Кроме этого, оно должно обеспечить IKE-протоколу возможность проводить процедуру обновления ключевой информацией в условиях двунаправленного соединения (RFC-2408).

2007 - 2017 © Русские переводы RFC, IETF, ISOC.