Aller au contenu principal

4.4.3. Base de données d'autorisation des pairs (Peer Authorization Database, PAD)

La base de données d'autorisation des pairs (Peer Authorization Database, PAD) fournit le lien entre la SPD et un protocole de gestion des associations de sécurité tel qu'IKE. Elle incarne plusieurs fonctions critiques :

Fonctions critiques de la PAD

  • Identifie les pairs autorisés (Identifies authorized peers) : Identifie les pairs ou groupes de pairs qui sont autorisés à communiquer avec cette entité IPsec

  • Spécifie le protocole d'authentification (Specifies authentication protocol) : Spécifie le protocole et la méthode utilisés pour authentifier chaque pair

  • Fournit les données d'authentification (Provides authentication data) : Fournit les données d'authentification pour chaque pair

  • Restreint les ID assertés (Constrains asserted IDs) : Restreint les types et valeurs d'ID qui peuvent être assertés par un pair en ce qui concerne la création de SA enfants, pour garantir que le pair n'asserte pas d'identités pour la recherche dans la SPD qu'il n'est pas autorisé à représenter, lorsque les SA enfants sont créées

  • Informations de localisation de la passerelle de pairs (Peer gateway location info) : Les adresses IP ou les noms DNS PEUVENT (MAY) être inclus pour les pairs connus pour être "derrière" une passerelle de sécurité

La PAD fournit ces fonctions pour un pair IKE lorsque le pair agit soit comme initiateur, soit comme répondeur.

Structure des entrées PAD

Pour exécuter ces fonctions, la PAD contient une entrée pour chaque pair ou groupe de pairs avec lequel l'entité IPsec communiquera. Une entrée nomme un pair individuel (un utilisateur, un système terminal ou une passerelle de sécurité) ou spécifie un groupe de pairs (en utilisant les règles de correspondance d'ID définies ci-dessous).

L'entrée spécifie :

  • Le protocole d'authentification (par exemple, IKEv1, IKEv2, KINK)
  • La méthode utilisée (par exemple, certificats ou secrets pré-partagés)
  • Les données d'authentification (par exemple, le secret pré-partagé ou l'ancre de confiance par rapport à laquelle le certificat du pair sera validé)

Authentification basée sur les certificats (Certificate-Based Authentication)

Pour l'authentification basée sur les certificats, l'entrée peut également fournir des informations pour aider à vérifier l'état de révocation du pair, par exemple :

  • Un pointeur vers un référentiel CRL
  • Le nom d'un serveur de protocole d'état de certificat en ligne (Online Certificate Status Protocol, OCSP) associé au pair ou à l'ancre de confiance associée au pair

Configuration de recherche SPD (SPD Lookup Configuration)

Chaque entrée spécifie également si :

  • La charge utile ID IKE sera utilisée comme nom symbolique pour la recherche SPD, OU
  • L'adresse IP distante fournie dans les charges utiles de sélecteur de trafic sera utilisée pour les recherches SPD lorsque les SA enfants sont créées

Note : Les informations PAD PEUVENT (MAY) être utilisées pour prendre en charge la création de plus d'une SA en mode tunnel à la fois entre deux pairs, par exemple, deux tunnels pour protéger les mêmes adresses/hôtes, mais avec des points de terminaison de tunnel différents.

Dernière mise à jour le