{\pwi dTahomaP/=  BSS@.; &(*-9753 r1'r'[woO=A&  ' IPSECB' A(I ) Usato per fare i tunnel in alternativa a GRE.Si configurano i vpn gw,i 2 apparati agli estremi del tunnel stesso.Il tunnel viene visto su molti router come un interfaccia virtuale.Ho problematiche di routing.Ipsec permette di cifrare i dati e di autenticarli.B))  ' !# & '     . A*  + ,B+ C,3@ 8A 6` 0@ 60_ 11ŐR!C0=@ ._ 6 -0P0 /)|;؟v؃_ " 8&M F(#L !c-6"0 &uH È"J.c>8D 28 +(x~o| 0O # (P@P (x}{޷`_'0C8@<* H.zPzen  D1 t(::,`4A-6C ( ЃN ( 0Da;Lxl;|ݷ矃7 -CnO|PB@e1 "8 (|K'p'|l@.K.xu?؃_eQ ^tx@=&V): tЂ=b" 0 -c=C@??@`?wIlηߞ~ B]ve^:_>PBER L(///t1Gf@>_@@@~@~ P%@ @0@@D $A>@1Gh-?>_>%_@ A @@@ @>O_O>@A76 IPSEC non si preoccupa di come cifrare o decifrare,risolve il problema dei passaggi da fare per decifrare sul destinatario.Da sicurezza a livello IP.Oltre cifratura fornisce anche autenticazione.Permette di garantire che il messaggio venga effettivamente mandato da mittente e non modificato da terzi.E' complesso perch gestisce pi meccanismi di cifratura,posso anche cifrare a chiave nulla,alias non cifro.Il problema la sua difficolt.Sicurezza varia in funzione al livello osi..A lv applicativo uso lv inferiori standard,ogni applicazione ha il proprio metodo.Lv trasporto,SSL,prevede la modifica di tcp o udp,richiede modifiche a SO e modifiche a livello applicazione.A livello rete ogni dato che parte arriva a destinazione,problemi in ambito rete,buono su endsystem,richiede modifiche a SO,problemi con nat e firewall perch a contenuto del pkt cifrato.Uso sottoprotocolli come IKE che sono collezioni di protocolli di cifratura e autenticazione che richiedono configurazione complicata.B6F> ( ' $X "4 % & % & "] '  * %4 (  % $ #O ( "f !e "} & % %\  & A5 4 B4 A32 SECURITY ASSOCIATIONB2  A1erz < Se a manda pkt a b deve sape come cifrare i flussi dati diversi,essendo ip connection less uso ,qlks di simile alle connessioni ma su lv rete.Posso usare pi chiavi per cifrare e autenticare,2 in un senso 2 nell'altro.A e B possono avere + SA.Ogni SA tiene poi informazioni su chiavi ecc...Sono distinte da porte,indirizzi IP e prefissi.Prevede timer live delle chiavi. pB<" ) ) & ' '  "J ! * A  B &A'.  TUNNEL E TRANSPORT MODE ENCAPSULATION B   A'%ry( Il pkt puo' essere totalmente cifrato e va quindi reimbustato in IP,altrimenti lascio inalterata l'intestazione.B() ' "  A3 -AH:intestazione > per autenticare pkt,il pkt resta in chiaro,si mette tra ip e campo dati,contiene firma digitale e numero security association relativo al flusso..B ) &} % (  C>@?A[@Z -Encapsulation Security Protocol:prevede intestazione e coda nel pkt dati ip.Permette di autenticare e cifrare.Si negazia in fase di apertura di security association.Si va a cifrare ed autenticare il contenuto del pkt ip.BZW % (   ' &  Aw<x IPSEC ha problemi con nat perch cifra e rende illegibile le porte di destinazione del pkt tcp/udp. Si usa tra macchine intermedie ,problemi computazionali su link grossi.Problemi di frammentazione dei pkt.Bx!n %B % "w '  Ao p Bp AOPBP A= A?FBA CF@ @