5.1. Traffic Selector Authorization (流量选择器授权)

5.1. Traffic Selector Authorization (流量选择器授权)

IKEv2 在确定允许对等端创建何种子 SA 时, 依赖对等端授权数据库 (PAD, Peer Authorization Database) 中的信息. 该过程在 [IPSECARCH] 第 4.4.3 节描述. 当对等端请求以某些流量选择器 (Traffic Selectors, TS) 创建子 SA 时, PAD 必须包含将 IKEv2 认证所得身份与 TS 允许地址关联起来的 "子 SA 授权数据 (Child SA Authorization Data)".

例如, 可将 PAD 配置为: 经认证身份 "sgw23.example.com" 允许为 192.0.2.0/24 创建子 SA, 表示该安全网关是这些地址的有效 "代表". 主机到主机 IPsec 需要类似条目, 例如将 "fooserver4.example.com" 与 198.51.100.66/32 关联, 表示该身份是有关地址的有效 "拥有者" 或 "代表".

如 [IPSECARCH] 所述, "有必要对子 SA 的创建施加这些约束, 以防止经认证的对等端伪造与其他合法对等端关联的 ID". 在上例中, 正确配置的 PAD 可防止 sgw23 为地址 198.51.100.66 创建子 SA, 也可防止 fooserver4 为 192.0.2.0/24 中的地址创建子 SA.

务必注意, 仅使用某地址发送 IKEv2 报文并不意味着有权在 TS 中包含该地址来创建子 SA. 例如, 即使 sgw23 能将源 IP 伪造为 198.51.100.66, 也无法创建与 fooserver4 流量匹配的子 SA.

IKEv2 规范未精确说明使用 Configuration (配置) 载荷进行 IP 地址分配如何与 PAD 交互. 我们的理解是: 当安全网关通过 Configuration 载荷分配地址时, 它同时会创建一条临时 PAD 条目, 将经认证的对等端身份与新分配的内部地址关联起来.

已认识到在某些环境中正确配置 PAD 可能很困难. 例如, 若在一对使用 DHCP (Dynamic Host Configuration Protocol, 动态主机配置协议) 动态分配地址的主机之间使用 IPsec, 要确保 PAD 为每个 IP 地址指定正确的 "拥有者" 极为困难. 这需要一种机制, 以安全方式从 DHCP 服务器传递地址分配, 并将其与使用 IKEv2 认证的身份关联起来.

由于这一限制, 已知有些厂商将 PAD 配置为允许经认证的对等端创建 TS 中包含用于 IKEv2 报文的同一地址的子 SA. 在可能发生 IP 欺骗的环境中 (即几乎无处不在), 这实质上允许任意对等端以任意 TS 创建子 SA. 在大多数情况下, 这不是恰当或安全的配置. 关于该问题及主机到主机 IPsec 的一般局限, 见 [H2HIPSEC] 的深入讨论.