Security Database
| IPsec verwendet zwei Sicherheits-Datenbanken
| Security
Policy Database (SPD)
| Sicherheitspolitiken von Administrator festgelegt |
|
| Security Association Database
(SAD)
| hält je aktiver Assoziation jeweils
verwendete Parameter |
|
| Datenbanken unterscheiden in der Regel zwischen
| ein- und
ausgehenden Verbindungen, |
| verschiedenen SAs zugeordnet |
|
|
Gateway
| in der Regel zumindest eine SA zum entfernten Gateway |
|
| interne Verbindung keine SA
| kein
Eintrag in der SPD vorhanden |
| kein Eintrag in der SAD erzeugt |
|
|
| Selector
| Abbildung zwischen Datenverkehr und SAs
|
|
|
Die Security Policy Database (SPD)
|
| Je Schnittstelle je Kommunikationsrichtung eigene Informationen
| ein- und ausgehend |
|
| drei Klassen von
Nachrichten unterschieden |
- discard,
- bypass IPsec,
- apply IPsec.
| Security
Policy Database
| geeignete Schnittstelle |
| zu welcher dieser
Klassen gehören Pakete |
| wie werden Pakete bearbeitet |
|
| Hostsystemen
|
Systemadministrator legt Regeln fest |
| einzelne solcher
Regeln vom Benutzer veränderbar |
|
| Selektoren
| ordnen Paket bestimmte Verschlüsselung zu |
| wählen Verschlüsselungsfunktion aus |
| abhängig von bestimmten Parametern |
| Parameter von jeder Implementierung
von IPsec zur Verfügung gestellt |
| können folgende sein
| Destination IP Address (IPv4 or IPv6): single, range of addresses,
address + mask, or a wildcard. |
| Source IP Address(es) (IPv4 or IPv6): single, range of addresses, address +
mask, or a wildcard. |
| Name: User ID (DNS), X.500 distinguished name, System name (host, security
gateway, etc.) (DNS, X.500) |
| Data sensitivity level: (IPSO/CIPSO labels) |
| Transport Layer Protocol: Obtained from the IPv4 "Protocol" or
the IPv6 "Next Header" fields. |
| Source and Destination (e.g., TCP/UDP) Ports, port values or a wildcard
port: session-oriented keying |
|
|
Die folgende Tabelle stellt dieses noch einmal zusammen.
Field |
Traffic Value |
SAD Entry |
SPD Entry |
src addr |
single IP addr |
single,range,wild |
single,range,wildcard |
dst addr |
single IP addr |
single,range,wild |
single,range,wildcard |
xpt protocol* |
xpt protocol |
single,wildcard |
single,wildcard |
src port* |
single src port |
single,wildcard |
single,wildcard |
dst port* |
single dst port |
single,wildcard |
single,wildcard |
user id* |
single user id |
single,wildcard |
single,wildcard |
sec. labels |
single value |
single,wildcard |
single,wildcard |
Security Association Database (SAD)
| Jede aktive SA
| besitzt Eintrag in Security Association Database; |
| SAs zum Zeitpunkt des Aufbaus der jeweiligen Verbindung erstellt |
|
Sender kann anhand Einträge prüfen
| ob bestimmte Pakete
gesendet werden dürfen, |
|
| Empfänger entscheidet anhand dieser Daten,
| wie
Pakete behandelt werden müssen. |
|
| Parameter Eingehender Verkehr
| Outer Header's Destination IP address: the IPv4 or IPv6 |
| IPsec Protocol: AH or ESP: Spezifiziert das verwendetes IPsec-Protocol. |
| SPI: 32 Bit-Wert zur Unterscheidung verschiedener SAs
Sas mit gleichem Ziel
gleiche IPsec-Protocol |
|
|
| Abarbeitung eines Datagramms
| abhängig von folgenden Parametern
| Sequence Number Counter:
32 Bit-Wert zum Erzeugen der
Sequenznummern in AH- oder ESP-Headern. |
| Sequence Counter Overflow:
Bei Überlauf des Sequence Number
Counter erhält man ein Warnung. |
| Anti-Replay Window:
32 Bit-Zähler zur Entdeckung von
mehrfach gesendeten Paketen (replay). |
| AH Authentication algorithm:
Schlüssel usw. |
| ESP Encryption algorithm:
Schlüssel,
Initialisierungsvektor (Modus) usw. |
| ESP authentication algorithm:
Schlüssel usw. Null, falls
keine Authentisierung in ESP. |
| Lifetime of this Security Association:
Beenden bzw.
Erneuern einer SA, wenn diese Zeit abgelaufen ist. |
| IPsec protocol mode:
tunnel, transport or wildcard. Gibt
Modus von AH bzw. ESP an. |
| Path MTU:
any observed path MTU and aging variables. |
|
|
| Das Ende der Lebensdauer einer SA
| folgendermaßen festgelegt |
|
- Anzahl empfangener Bytes überschreitet festgelegte Grenze.
- Festgelegter Zeitpunkt.
- Pakete, die nicht innerhalb der jeweiligen Zeit eintreffen, sollten
verworfen werden.
|