Aller au contenu principal

8. Exigences de conformité

Cette section décrit les exigences de conformité pour les implémentations IPsec. Les implémentations DOIVENT prendre en charge à la fois IPv4 et IPv6.

8.1. Base de données de politique de sécurité (SPD)

Toutes les implémentations IPsec DOIVENT avoir une SPD. La SPD DOIT prendre en charge les éléments suivants:

  • Tous les sélecteurs définis dans la section 4.4.1.1
  • Les SA en mode transport et en mode tunnel
  • Les actions de traitement PROTECT, BYPASS et DISCARD
  • Les entrées de politique ordonnées pour gérer les sélecteurs qui se chevauchent

8.2. Base de données d'association de sécurité (SAD)

Toutes les implémentations IPsec DOIVENT avoir une SAD. La SAD DOIT contenir tous les éléments de données spécifiés dans la section 4.4.2.1, y compris:

  • Indice de paramètre de sécurité (SPI)
  • Compteur de numéro de séquence et fenêtre anti-rejeu
  • Paramètres d'algorithme AH et/ou ESP
  • Durée de vie de la SA
  • Mode de protocole IPsec (tunnel ou transport)

8.3. Base de données d'autorisation des pairs (PAD)

Toutes les implémentations IPsec DOIVENT avoir une PAD. La PAD DOIT prendre en charge:

  • Authentification via des certificats X.509
  • Authentification via des secrets pré-partagés
  • Tous les types d'ID définis dans la section 4.4.3.1
  • Contraintes sur la création de SA enfants

8.4. Support AH et ESP

  • Toutes les implémentations IPsec DOIVENT prendre en charge ESP
  • Toutes les implémentations IPsec DEVRAIENT prendre en charge AH
  • ESP DOIT prendre en charge le chiffrement NULL et DOIT prendre en charge les algorithmes de chiffrement
  • ESP DOIT prendre en charge la protection de l'intégrité
  • AH DOIT prendre en charge la protection de l'intégrité avec des algorithmes obligatoires

8.5. Modes tunnel et transport

  • Toutes les implémentations IPsec DOIVENT prendre en charge les modes tunnel et transport
  • Les passerelles de sécurité DOIVENT prendre en charge le mode tunnel
  • Les implémentations d'hôtes natifs DOIVENT prendre en charge le mode transport

8.6. Gestion des clés

Toutes les implémentations IPsec DOIVENT prendre en charge à la fois:

  • Gestion manuelle des clés
  • Gestion automatisée des clés (IKEv2 est le défaut)

8.7. Sélecteurs de trafic

Toutes les implémentations DOIVENT prendre en charge l'ensemble complet des sélecteurs définis dans la section 4.4.1.1:

  • Adresses IP source et destination (IPv4 et IPv6)
  • Protocole de couche suivante
  • Ports source et destination (pour les protocoles applicables)
  • Type et code de message ICMP
  • Type d'en-tête de mobilité (IPv6)
  • Nom (pour la recherche symbolique SPD)
Dernière mise à jour le