Zum Hauptinhalt springen

8. Konformitätsanforderungen

Dieser Abschnitt beschreibt die Konformitätsanforderungen für IPsec-Implementierungen. Implementierungen MÜSSEN sowohl IPv4 als auch IPv6 unterstützen.

8.1. Sicherheitsrichtliniendatenbank (SPD)

Alle IPsec-Implementierungen MÜSSEN eine SPD haben. Die SPD MUSS Folgendes unterstützen:

  • Alle in Abschnitt 4.4.1.1 definierten Selektoren
  • Sowohl Transport- als auch Tunnel-Modus-SAs
  • PROTECT-, BYPASS- und DISCARD-Verarbeitungsaktionen
  • Geordnete Richtlinieneinträge zur Behandlung überlappender Selektoren

8.2. Sicherheitsassoziationsdatenbank (SAD)

Alle IPsec-Implementierungen MÜSSEN eine SAD haben. Die SAD MUSS alle in Abschnitt 4.4.2.1 angegebenen Datenelemente enthalten, einschließlich:

  • Sicherheitsparameterindex (SPI)
  • Sequenznummernzähler und Anti-Replay-Fenster
  • AH- und/oder ESP-Algorithmusparameter
  • SA-Lebensdauer
  • IPsec-Protokollmodus (Tunnel oder Transport)

8.3. Peer-Autorisierungsdatenbank (PAD)

Alle IPsec-Implementierungen MÜSSEN eine PAD haben. Die PAD MUSS Folgendes unterstützen:

  • Authentifizierung über X.509-Zertifikate
  • Authentifizierung über vorverteilte Geheimnisse
  • Alle in Abschnitt 4.4.3.1 definierten ID-Typen
  • Einschränkungen bei der Erstellung von Kind-SAs

8.4. AH- und ESP-Unterstützung

  • Alle IPsec-Implementierungen MÜSSEN ESP unterstützen
  • Alle IPsec-Implementierungen SOLLTEN AH unterstützen
  • ESP MUSS NULL-Verschlüsselung unterstützen und MUSS Verschlüsselungsalgorithmen unterstützen
  • ESP MUSS Integritätsschutz unterstützen
  • AH MUSS Integritätsschutz mit obligatorischen Algorithmen unterstützen

8.5. Tunnel- und Transportmodi

  • Alle IPsec-Implementierungen MÜSSEN sowohl Tunnel- als auch Transportmodus unterstützen
  • Sicherheitsgateways MÜSSEN den Tunnelmodus unterstützen
  • Native Host-Implementierungen MÜSSEN den Transportmodus unterstützen

8.6. Schlüsselverwaltung

Alle IPsec-Implementierungen MÜSSEN beides unterstützen:

  • Manuelle Schlüsselverwaltung
  • Automatisierte Schlüsselverwaltung (IKEv2 ist der Standard)

8.7. Verkehrsselektoren

Alle Implementierungen MÜSSEN den vollständigen Satz von Selektoren unterstützen, die in Abschnitt 4.4.1.1 definiert sind:

  • Quell- und Ziel-IP-Adressen (IPv4 und IPv6)
  • Protokoll der nächsten Schicht
  • Quell- und Zielports (für anwendbare Protokolle)
  • ICMP-Nachrichtentyp und -Code
  • Mobility-Header-Typ (IPv6)
  • Name (für symbolische SPD-Suche)
Letztes Update am