Zum Hauptinhalt springen

4.2. SA-Funktionalität (SA Functionality)

Der Satz von Sicherheitsdiensten, die von einer SA angeboten werden, hängt vom ausgewählten Sicherheitsprotokoll, dem SA-Modus, den Endpunkten der SA und der Wahl optionaler Dienste innerhalb des Protokolls ab.

Zum Beispiel bieten sowohl AH als auch ESP Integritäts- und Authentifizierungsdienste, aber die Abdeckung unterscheidet sich für jedes Protokoll und unterscheidet sich für Transport- vs. Tunnelmodus. Wenn die Integrität einer IPv4-Option oder eines IPv6-Erweiterungsheaders auf dem Weg zwischen Sender und Empfänger geschützt werden muss, kann AH diesen Dienst bereitstellen, außer für IP- oder Erweiterungsheader, die sich auf eine Weise ändern können, die vom Sender nicht vorhersehbar ist. Dieselbe Sicherheit kann jedoch in einigen Kontexten durch Anwendung von ESP auf einen Tunnel, der ein Paket trägt, erreicht werden.

Die Granularität der bereitgestellten Zugriffskontrolle wird durch die Wahl der Selektoren bestimmt, die jede SA definieren. Darüber hinaus beeinflussen auch die von IPsec-Peers verwendeten Authentifizierungsmittel, z. B. während der Erstellung einer IKE (im Gegensatz zu Kind) SA, die Granularität der gebotenen Zugriffskontrolle.

Verkehrsflusskonfidentialität

Wenn Vertraulichkeit ausgewählt wird, kann eine ESP (Tunnelmodus) SA zwischen zwei Sicherheitsgateways partielle Verkehrsflusskonfidentialität bieten. Die Verwendung des Tunnelmodus ermöglicht die Verschlüsselung der inneren IP-Header und verbirgt die Identitäten der (endgültigen) Verkehrsquelle und des Ziels. Darüber hinaus kann auch ESP-Payload-Padding aufgerufen werden, um die Größe der Pakete zu verbergen und die externen Merkmale des Verkehrs weiter zu verschleiern. Ähnliche Verkehrsflusskonfidentialitätsdienste können angeboten werden, wenn einem mobilen Benutzer in einem Einwahlkontext eine dynamische IP-Adresse zugewiesen wird und eine (Tunnelmodus) ESP SA zu einer Unternehmensfirewall (die als Sicherheitsgateway fungiert) eingerichtet wird. Beachten Sie, dass feinkörnige SAs im Allgemeinen anfälliger für Verkehrsanalysen sind als grobkörnige SAs, die Verkehr von vielen Teilnehmern transportieren.

Hinweis: Eine konforme Implementierung DARF NICHT (MUST NOT) die Instanziierung einer ESP SA zulassen, die sowohl NULL-Verschlüsselung als auch keinen Integritätsalgorithmus verwendet. Ein Versuch, eine solche SA auszuhandeln, ist ein überprüfbares Ereignis sowohl für den Initiator als auch für den Responder. Der Prüfprotokolleintrag für dieses Ereignis SOLLTE (SHOULD) das aktuelle Datum/die Uhrzeit, die lokale IKE-IP-Adresse und die entfernte IKE-IP-Adresse enthalten. Der Initiator SOLLTE (SHOULD) den relevanten SPD-Eintrag aufzeichnen.

Letztes Update am