Zum Hauptinhalt springen

3.3. Wo IPsec implementiert werden kann (Where IPsec Can Be Implemented)

Es gibt viele Möglichkeiten, wie IPsec in einem Host implementiert werden kann, oder in Verbindung mit einem Router oder einer Firewall, um ein Sicherheitsgateway zu erstellen, oder als unabhängiges Sicherheitsgerät.

Implementierungsansätze

a. Native IP-Stack-Integration

IPsec kann in den nativen IP-Stack integriert werden. Dies erfordert Zugriff auf den IP-Quellcode und ist sowohl auf Hosts als auch auf Sicherheitsgateways anwendbar, obwohl native Host-Implementierungen am meisten von dieser Strategie profitieren.

b. Bump-in-the-Stack (BITS)

Bei einer "Bump-in-the-Stack" (BITS)-Implementierung wird IPsec "unterhalb" einer bestehenden Implementierung eines IP-Protokollstacks implementiert, zwischen dem nativen IP und den lokalen Netzwerktreibern. Der Zugriff auf den Quellcode für den IP-Stack ist in diesem Kontext nicht erforderlich, was diesen Implementierungsansatz für die Verwendung mit Legacy-Systemen geeignet macht.

c. Bump-in-the-Wire (BITW)

Die Verwendung eines dedizierten Inline-Sicherheitsprotokollprozessors ist ein gängiges Designmerkmal von Systemen, die vom Militär verwendet werden, und auch einiger kommerzieller Systeme. Es wird manchmal als "Bump-in-the-Wire" (BITW)-Implementierung bezeichnet. Solche Implementierungen können so konzipiert werden, dass sie entweder einen Host oder ein Gateway bedienen.

Implementierungsflexibilität

Dieses Dokument spricht oft über die Verwendung von IPsec durch einen Host oder ein Sicherheitsgateway, ohne Rücksicht darauf, ob die Implementierung nativ, BITS oder BITW ist. Wenn die Unterschiede zwischen diesen Implementierungsoptionen signifikant sind, verweist das Dokument auf spezifische Implementierungsansätze.

Eine Host-Implementierung von IPsec kann in Geräten erscheinen, die möglicherweise nicht als "Hosts" angesehen werden. Beispielsweise könnte ein Router IPsec verwenden, um Routing-Protokolle (z. B. BGP) und Verwaltungsfunktionen (z. B. Telnet) zu schützen, ohne den Abonnentenverkehr zu beeinträchtigen, der den Router durchquert. Die in diesem Dokument beschriebene Architektur ist sehr flexibel.

Letztes Update am