2 AH (Authentication Header)

Il protocollo AH (Authentication Header) fornisce servizi di autenticazione, integrità e protezione da attacchi di tipo replay⁹. AH autentica l'intero pacchetto IP, ad eccezione dei campi variabili dell'header IP¹⁰ (ovvero type of service, flags, fragment offset, time to live, header checksum, più alcune delle opzioni) che, essendo modificabili dai nodi intermedi, non possono essere autenticati¹¹. La posizione dell'header AH all'interno del pacchetto IP, nelle modalità trasporto e tunnel, è mostrata in figura 2.1.

**Figura 2.1:** Posizionamento di AH all'interno del pacchetto IP.
$\includegraphics{immagini/ah_tt.eps}$

L'header del protocollo AH è mostrato in figura 2.2; segue una breve descrizione dei campi che lo compongono.

Next header: contiene il codice identificativo del protocollo dell'header successivo, per esempio TCP o ESP.
Payload length: contiene la lunghezza dell'header AH, espressa in parole di 32 bit, meno 2.
Reserved: riservato per usi futuri, deve essere posto a zero.
Security Parameters Index (SPI): contiene un valore numerico che, insieme con l'indirizzo IP di destinazione e il protocollo (ovvero AH, in questo caso) identifica la security association utilizzata. Viene stabilito dal destinatario quando la SA viene negoziata.
Sequence number: specifica il numero di sequenza del pacchetto all'interno della SA, per prevenire i replay attack. Il destinatario gestisce i numeri di sequenza (se il servizio anti-replay è abilitato) tramite un meccanismo a finestra.
Authentication data: contiene il valore per il controllo dell'integrità (Integrity Check Value -- ICV) del pacchetto. La lunghezza di questo campo è variabile ma deve essere un multiplo di 32 bit, per cui è possibile inserire un padding.

**Figura 2.2:** Formato dell'header AH.
$\includegraphics{immagini/ah.eps}$

AH presuppone che esista già una security association tra i due nodi, e non si preoccupa quindi di negoziarne i parametri. La specifica del protocollo AH si trova in [3].

Footnotes

...replay ⁹: Un replay attack consiste nell'immissione in rete da parte dell'intruso di un pacchetto autentico precedentemente intercettato.
... IP ¹⁰: Per il calcolo dei dati di autenticazione tali campi vengono posti a zero.
... autenticati ¹¹: Ci si riferisce all'header IP esterno. Nella modalità tunnel l'intero pacchetto originale (compreso l'header IP) viene incapsulato in un nuovo pacchetto, e quindi è interamente autenticato.