13. Sicherheitsaspekte

13. Sicherheitsaspekte (Security Considerations)

Nachrichten des Diameter-Basisprotokolls SOLLTEN mit TLS [RFC5246] oder DTLS/SCTP [RFC6083] geschützt werden. Zusätzliche Sicherheitsmechanismen wie IPsec [RFC4301] DÜRFEN ebenfalls eingesetzt werden, um Verbindungen zwischen Peers zu schützen. Alle Implementierungen des Diameter-Basisprotokolls MÜSSEN jedoch die Verwendung von TLS/TCP und DTLS/SCTP unterstützen, und das Diameter-Protokoll DARF NICHT ohne eines von TLS, DTLS oder IPsec verwendet werden.

Soll eine Diameter-Verbindung über TLS/TCP und DTLS/SCTP oder IPsec geschützt werden, SOLLTEN TLS/TCP und DTLS/SCTP oder IPsec/IKE vor jedem Austausch von Diameter-Nachrichten beginnen. Alle Sicherheitsparameter für TLS/TCP und DTLS/SCTP oder IPsec werden unabhängig vom Diameter-Protokoll konfiguriert. Nach erfolgreicher Einrichtung werden alle Diameter-Nachrichten über die TLS/TCP- und DTLS/SCTP- oder IPsec-Verbindung gesendet.

Damit TLS/TCP- und DTLS/SCTP-Verbindungen im Zustand «open» aufgebaut werden können, MUSS der CER/CEA-Austausch ein Inband-Security-ID-AVP mit dem Wert TLS/TCP und DTLS/SCTP enthalten. Der TLS/TCP- und DTLS/SCTP-Handshake beginnt, wenn beide Enden nach Abschluss des CER/CEA-Austauschs erfolgreich den Zustand «open» erreicht haben. Ist der TLS/TCP- und DTLS/SCTP-Handshake erfolgreich, werden alle weiteren Nachrichten über TLS/TCP und DTLS/SCTP gesendet. Schlägt der Handshake fehl, MÜSSEN beide Enden in den Zustand «closed» wechseln. Weitere Einzelheiten finden sich in Abschnitt 13.1.

13. Sicherheitsaspekte (Security Considerations)​

13. Sicherheitsaspekte (Security Considerations)