Passa al contenuto principale

4.4.3. Database di autorizzazione dei peer (Peer Authorization Database, PAD)

Il database di autorizzazione dei peer (Peer Authorization Database, PAD) fornisce il collegamento tra la SPD e un protocollo di gestione delle associazioni di sicurezza come IKE. Incarna diverse funzioni critiche:

Funzioni critiche della PAD

  • Identifica i peer autorizzati (Identifies authorized peers): Identifica i peer o i gruppi di peer che sono autorizzati a comunicare con questa entità IPsec

  • Specifica il protocollo di autenticazione (Specifies authentication protocol): Specifica il protocollo e il metodo utilizzati per autenticare ciascun peer

  • Fornisce i dati di autenticazione (Provides authentication data): Fornisce i dati di autenticazione per ciascun peer

  • Vincola gli ID asseriti (Constrains asserted IDs): Vincola i tipi e i valori degli ID che possono essere asseriti da un peer in relazione alla creazione di SA figlie, per garantire che il peer non asserisca identità per la ricerca nella SPD che non è autorizzato a rappresentare, quando vengono create SA figlie

  • Informazioni sulla posizione del gateway peer (Peer gateway location info): Gli indirizzi IP o i nomi DNS POSSONO (MAY) essere inclusi per i peer noti per essere "dietro" un gateway di sicurezza

La PAD fornisce queste funzioni per un peer IKE quando il peer agisce come iniziatore o come risponditore.

Struttura delle voci PAD

Per eseguire queste funzioni, la PAD contiene una voce per ciascun peer o gruppo di peer con cui l'entità IPsec comunicherà. Una voce nomina un singolo peer (un utente, un sistema terminale o un gateway di sicurezza) o specifica un gruppo di peer (utilizzando le regole di corrispondenza ID definite di seguito).

La voce specifica:

  • Il protocollo di autenticazione (ad esempio, IKEv1, IKEv2, KINK)
  • Il metodo utilizzato (ad esempio, certificati o segreti pre-condivisi)
  • I dati di autenticazione (ad esempio, il segreto pre-condiviso o l'ancora di fiducia relativa alla quale verrà convalidato il certificato del peer)

Autenticazione basata su certificati (Certificate-Based Authentication)

Per l'autenticazione basata su certificati, la voce può anche fornire informazioni per assistere nella verifica dello stato di revoca del peer, ad esempio:

  • Un puntatore a un repository CRL
  • Il nome di un server Online Certificate Status Protocol (OCSP) associato al peer o all'ancora di fiducia associata al peer

Configurazione della ricerca SPD (SPD Lookup Configuration)

Ogni voce specifica anche se:

  • Il payload ID IKE verrà utilizzato come nome simbolico per la ricerca SPD, OPPURE
  • L'indirizzo IP remoto fornito nei payload del selettore di traffico verrà utilizzato per le ricerche SPD quando vengono create SA figlie

Nota: Le informazioni PAD POSSONO (MAY) essere utilizzate per supportare la creazione di più di una SA in modalità tunnel alla volta tra due peer, ad esempio, due tunnel per proteggere gli stessi indirizzi/host, ma con endpoint di tunnel diversi.

Ultimo aggiornamento il