Zum Hauptinhalt springen

4.4.3. Peer-Autorisierungsdatenbank (Peer Authorization Database, PAD)

Die Peer-Autorisierungsdatenbank (Peer Authorization Database, PAD) stellt die Verbindung zwischen der SPD und einem Sicherheitsassoziations-Verwaltungsprotokoll wie IKE her. Sie verkörpert mehrere kritische Funktionen:

Kritische PAD-Funktionen

  • Identifiziert autorisierte Peers (Identifies authorized peers): Identifiziert die Peers oder Gruppen von Peers, die berechtigt sind, mit dieser IPsec-Entität zu kommunizieren

  • Spezifiziert Authentifizierungsprotokoll (Specifies authentication protocol): Spezifiziert das Protokoll und die Methode, die zur Authentifizierung jedes Peers verwendet werden

  • Stellt Authentifizierungsdaten bereit (Provides authentication data): Stellt die Authentifizierungsdaten für jeden Peer bereit

  • Beschränkt assertierte IDs (Constrains asserted IDs): Beschränkt die Typen und Werte von IDs, die von einem Peer in Bezug auf die Erstellung von Kind-SAs assertiert werden können, um sicherzustellen, dass der Peer beim Erstellen von Kind-SAs keine Identitäten für die Suche in der SPD assertiert, die er nicht berechtigt ist zu repräsentieren

  • Peer-Gateway-Standortinformationen (Peer gateway location info): IP-Adresse(n) oder DNS-Namen KÖNNEN (MAY) für Peers enthalten sein, von denen bekannt ist, dass sie sich "hinter" einem Sicherheitsgateway befinden

Die PAD stellt diese Funktionen für einen IKE-Peer bereit, wenn der Peer entweder als Initiator oder als Responder agiert.

PAD-Eintragsstruktur

Um diese Funktionen auszuführen, enthält die PAD einen Eintrag für jeden Peer oder jede Gruppe von Peers, mit denen die IPsec-Entität kommunizieren wird. Ein Eintrag benennt einen einzelnen Peer (einen Benutzer, ein Endsystem oder ein Sicherheitsgateway) oder spezifiziert eine Gruppe von Peers (unter Verwendung der unten definierten ID-Matching-Regeln).

Der Eintrag spezifiziert:

  • Das Authentifizierungsprotokoll (z.B. IKEv1, IKEv2, KINK)
  • Die verwendete Methode (z.B. Zertifikate oder Pre-Shared Secrets)
  • Die Authentifizierungsdaten (z.B. das Pre-Shared Secret oder der Trust Anchor, relativ zu dem das Zertifikat des Peers validiert wird)

Zertifikatbasierte Authentifizierung (Certificate-Based Authentication)

Für zertifikatbasierte Authentifizierung kann der Eintrag auch Informationen bereitstellen, um bei der Überprüfung des Widerrufsstatus des Peers zu helfen, z.B.:

  • Ein Zeiger auf ein CRL-Repository
  • Der Name eines Online Certificate Status Protocol (OCSP)-Servers, der mit dem Peer oder mit dem mit dem Peer verbundenen Trust Anchor verbunden ist

SPD-Lookup-Konfiguration (SPD Lookup Configuration)

Jeder Eintrag spezifiziert auch, ob:

  • Die IKE-ID-Payload als symbolischer Name für die SPD-Suche verwendet wird, ODER
  • Die in Traffic-Selector-Payloads bereitgestellte Remote-IP-Adresse für SPD-Suchen verwendet wird, wenn Kind-SAs erstellt werden

Hinweis: Die PAD-Informationen KÖNNEN (MAY) verwendet werden, um die Erstellung von mehr als einer Tunnelmodus-SA gleichzeitig zwischen zwei Peers zu unterstützen, z.B. zwei Tunnel zum Schutz derselben Adressen/Hosts, aber mit unterschiedlichen Tunnelendpunkten.

Letztes Update am