Passa al contenuto principale

8. Requisiti di conformità

Questa sezione delinea i requisiti di conformità per le implementazioni IPsec. Le implementazioni DEVONO supportare sia IPv4 che IPv6.

8.1. Database delle politiche di sicurezza (SPD)

Tutte le implementazioni IPsec DEVONO avere una SPD. La SPD DEVE supportare quanto segue:

  • Tutti i selettori definiti nella sezione 4.4.1.1
  • SA in modalità transport e tunnel
  • Azioni di elaborazione PROTECT, BYPASS e DISCARD
  • Voci di policy ordinate per gestire selettori sovrapposti

8.2. Database delle associazioni di sicurezza (SAD)

Tutte le implementazioni IPsec DEVONO avere una SAD. La SAD DEVE contenere tutti gli elementi di dati specificati nella sezione 4.4.2.1, inclusi:

  • Indice dei parametri di sicurezza (SPI)
  • Contatore del numero di sequenza e finestra anti-replay
  • Parametri dell'algoritmo AH e/o ESP
  • Durata della SA
  • Modalità del protocollo IPsec (tunnel o transport)

8.3. Database di autorizzazione dei peer (PAD)

Tutte le implementazioni IPsec DEVONO avere una PAD. La PAD DEVE supportare:

  • Autenticazione tramite certificati X.509
  • Autenticazione tramite segreti pre-condivisi
  • Tutti i tipi di ID definiti nella sezione 4.4.3.1
  • Vincoli sulla creazione di SA figlie

8.4. Supporto AH ed ESP

  • Tutte le implementazioni IPsec DEVONO supportare ESP
  • Tutte le implementazioni IPsec DOVREBBERO supportare AH
  • ESP DEVE supportare la crittografia NULL e DEVE supportare algoritmi di crittografia
  • ESP DEVE supportare la protezione dell'integrità
  • AH DEVE supportare la protezione dell'integrità con algoritmi obbligatori

8.5. Modalità tunnel e transport

  • Tutte le implementazioni IPsec DEVONO supportare sia la modalità tunnel che transport
  • I gateway di sicurezza DEVONO supportare la modalità tunnel
  • Le implementazioni degli host nativi DEVONO supportare la modalità transport

8.6. Gestione delle chiavi

Tutte le implementazioni IPsec DEVONO supportare entrambi:

  • Gestione manuale delle chiavi
  • Gestione automatizzata delle chiavi (IKEv2 è il predefinito)

8.7. Selettori di traffico

Tutte le implementazioni DEVONO supportare l'insieme completo di selettori definiti nella sezione 4.4.1.1:

  • Indirizzi IP di origine e destinazione (IPv4 e IPv6)
  • Protocollo di livello successivo
  • Porte di origine e destinazione (per i protocolli applicabili)
  • Tipo e codice del messaggio ICMP
  • Tipo di intestazione di mobilità (IPv6)
  • Nome (per la ricerca simbolica SPD)
Ultimo aggiornamento il