Rechnernetze
Home Nach oben Stichworte

Security Database

In IPsec werden zwei Sicherheits-Datenbanken verwendet: In der Security Policy Database (SPD) legt der Administrator die Sicherheitspolitiken fest. In der Security Association Database (SAD) werden für jede aktive Assoziation die jeweils verwendeten Parameter abgelegt. Die Datenbanken unterscheiden in der Regel zwischen ein- und ausgehenden Verbindungen, da diese auch verschiedenen SAs zugeordnet sind. Ein Gateway wird in der Regel zumindest eine SA zu dem entfernten Gateway besitzen, während intern keine SA existiert, also für solche Verbindungen auch kein Eintrag in der SPD vorhanden ist bzw. kein Eintrag in der SAD erzeugt wird.

Darüber hinaus wird der Begriff Selector eingeführt, der die Abbildung zwischen dem Datenverkehr und den SAs herstellt.

Die Security Policy Database (SPD) 

Jeder Schnittstelle stehen je Kommunikationsrichtung (ein- und ausgehend) jeweils eigene Informationen zur Verfügung. Es werden drei Klassen von Nachrichten unterschieden:

  1. discard,
  2. bypass IPsec,
  3. apply IPsec.

Über eine geeignete Schnittstelle kann der Security Policy Database mitgeteilt werden, welche Pakete zu welcher dieser Klassen gehören und entsprechend bearbeitet werden. In Hostsystemen kann der Systemadministrator dem Benutzer die Möglichkeit geben, einzelne solcher Regeln zu verändern. Um einem Paket eine bestimmte Verschlüsselung zuzuordnen, werden Selektoren verwendet, die abhängig von bestimmten Parametern eine Verschlüsselungsfunktion auswählen. Diese Parameter können die folgenden sein, die jede Implementierung von IPsec zur Verfügung stellen muss:

Destination IP Address (IPv4 or IPv6): single, range of addresses, address + mask, or a wildcard.
Source IP Address(es) (IPv4 or IPv6): single, range of addresses, address + mask, or a wildcard.
Name: User ID (DNS), X.500 distinguished name, System name (host, security gateway, etc.) (DNS, X.500)
Data sensitivity level: (IPSO/CIPSO labels)
Transport Layer Protocol: Obtained from the IPv4 "Protocol" or the IPv6 "Next Header" fields. 
Source and Destination (e.g., TCP/UDP) Ports, port values or a wildcard port: session-oriented keying

Die folgende Tabelle stellt dieses noch einmal zusammen.

Field  Traffic Value  SAD Entry  SPD Entry
src addr  single IP addr  single,range,wild  single,range,wildcard
dst addr  single IP addr  single,range,wild  single,range,wildcard
xpt protocol*  xpt protocol  single,wildcard  single,wildcard
src port*  single src port  single,wildcard  single,wildcard
dst port*  single dst port  single,wildcard  single,wildcard
user id*  single user id  single,wildcard  single,wildcard
sec. labels  single value  single,wildcard  single,wildcard

Security Association Database (SAD)

Jede aktive SA besitzt einen Eintrag in der Security Association Database; die SAs werden zum Zeitpunkt des Aufbaus der jeweiligen Verbindung erstellt. Der Sender muss anhand dieser Einträge überprüfen können, ob bestimmte Pakete gesendet werden dürfen, der Empfänger entscheidet anhand dieser Daten, wie Pakete behandelt werden müssen. Eingehender Verkehr besitzt die folgenden Parameter:

Outer Header's Destination IP address: the IPv4 or IPv6
IPsec Protocol: AH or ESP: Spezifiziert das verwendete IPsec-Protocol.
SPI: 32 Bit-Wert zur Unterscheidung verschiedener SAs mit gleichem Ziel, die das gleiche IPsec-Protocol verwenden.

Die Abarbeitung eines Datagramms geschieht dann abhängig von den folgenden Parametern:

Sequence Number Counter: 32 Bit-Wert zum Erzeugen der Sequenznummern in AH- oder ESP-Headern.
Sequence Counter Overflow: Bei Überlauf des Sequence Number Counter erhält man ein Warnung.
Anti-Replay Window: 32 Bit-Zähler zur Entdeckung von mehrfach gesendeten Paketen (replay).
AH Authentication algorithm: Schlüssel usw.
ESP Encryption algorithm: Schlüssel, Initialisierungsvektor (Modus) usw.
ESP authentication algorithm: Schlüssel usw. Null, falls keine Authentisierung in ESP.
Lifetime of this Security Association: Beenden bzw. Erneuern einer SA, wenn diese Zeit abgelaufen ist.
IPsec protocol mode: tunnel, transport or wildcard. Gibt Modus von AH bzw. ESP an.
Path MTU: any observed path MTU and aging variables.

Das Ende der Lebensdauer einer SA kann folgendermaßen festgelegt werden:

  1. Anzahl empfangener Bytes überschreitet festgelegte Grenze.
  2. Festgelegter Zeitpunkt.
  3. Pakete, die nicht innerhalb der jeweiligen Zeit eintreffen, sollten verworfen werden.