ESP — Encapsulating Security Payload nomli IPsec protokoli bo‘lib, IP paketlar uchun confidentiality, integrity, data-origin authentication va anti-replay himoyasini taqdim etadi. ESP IP protocol number 50 bilan belgilanadi. U transport yoki tunnel mode da ishlaydi va Security Association parametrlariga tayanadi.
Paket tuzilishi
ESP header Security Parameters Index, ya’ni SPI va sequence numberni o‘z ichiga oladi. Shifrlangan qism original payload, padding, pad length va next headerdan tuziladi. Authentication tag tanlangan AEAD yoki integrity algoritmiga qarab paket oxirida bo‘ladi.
SPI destination address va protocol bilan birga qaysi Security Association paketni qayta ishlashini topadi. Sequence number anti-replay window uchun ishlatiladi. U wrap bo‘lishidan oldin yangi key va SA kerak.
Cryptographic himoya
AES-GCM kabi AEAD algoritm shifrlash va integrityni birgalikda beradi. Eski kombinatsiyada encryption va HMAC alohida bo‘lishi mumkin. Nonce yoki IVning bir key bilan takrorlanishi GCM xavfsizligini buzadi; SA sequence va salt constructioni spetsifikatsiyaga mos bo‘ladi.
ESP outer IP headerning barcha fieldlarini himoya qilmaydi. Tunnel mode da inner packet to‘liq himoyalanadi, ammo yangi outer header routing uchun ochiq qoladi. Traffic analysis paket hajmi va vaqtini ko‘rishi mumkin.
Transport mode
Transport mode original IP headerni saqlab, yuqori qatlam payloadini ESP bilan himoya qiladi. U ko‘pincha host-to-host aloqada ishlatiladi. NAT original portlarni ko‘rmaydi va ESPning o‘zi UDP/TCP portga ega emas.
NAT Traversal ESPni UDP 4500 ichiga encapsulate qiladi. Bu NAT devicega mapping saqlash imkonini beradi. Qo‘shimcha UDP header MTU overheadini oshiradi.
Tunnel mode
Tunnel mode butun original IP paketni inner payload sifatida shifrlaydi va yangi outer IP header qo‘shadi. Site-to-site VPN gatewaylari turli subnetlar orasida shu rejimdan foydalanadi. Client-to-gateway remote accessda ham qo‘llanishi mumkin.
Policy qaysi source/destination trafik qaysi tunnelga tushishini belgilaydi. Noto‘g‘ri selector traffic leak yoki routing loop yaratadi. Route-based VPN virtual tunnel interface bilan routingni, policy-based VPN selector bilan himoyani bog‘laydi.
IKE va Security Association
IKE peerlarni autentifikatsiya qiladi, algoritm va keylarni kelishadi hamda ESP Child SA yaratadi. Har yo‘nalish alohida SA va SPIga ega. Rekey yangi SAni oldingisi bilan qisqa vaqt parallel ishlatishi mumkin.
Packet drop sababi no matching SA, replay, integrity failure, expired lifetime yoki MTU bo‘lishi mumkin. Counterlar shu sabablarni ajratadi. ESP packet capture payloadni ochmaydi; diagnostika gateway state va IKE logiga tayanadi.
Paket hajmi va nonce talabi
ESP qo‘shimcha header, initialization vector yoki explicit nonce, padding, trailer va authentication tag kiritadi. Aniq overhead tanlangan algoritm hamda NAT-T ishlatilishiga bog‘liq. Tunnel MTU shu qiymatni hisobga olmasa fragmentatsiya yoki katta paketlarning yo‘qolishi kuzatiladi. AEAD algoritmida nonce bir kalit doirasida takrorlanmasligi shart; sequence number va salt kombinatsiyasi bu talabni bajarishga xizmat qiladi. Counter tugashidan oldin SA rekey qilinadi, aks holda maxfiylik va yaxlitlik kafolati buzilishi mumkin.
Paket capture’da ESP IP protocol 50 sifatida ko‘rinadi; NAT-T ishlaganda esa UDP 4500 ichida keladi. Firewall ikkala endpoint va kelishilgan yo‘lga mos ruxsat berishi kerak. Counter oshishi, SPI va authentication failure diagnostikada payloadni ochmasdan ham foydali signal beradi.
Bog‘liq tushunchalar
IPsec, IKE, Security Association, Transport mode, Tunnel mode, Anti-replay, NAT Traversal