Security im Überblick (Teil 4)

Security auf dem Network Layer

Security Association Database

Anhand des Tripels lässt sich die SA als Index in der Security Association Database (SAD) verwalten. Dazu werden zu jeder geschützten Netzwerkverbindung folgende sicherheitsrelevante Konfigurationsdaten gespeichert:

  • IPsec-Dienst (AH oder ESP)

  • Übertragungsmodus (Transport vs. Tunnel Modus)

  • Authentifikations- und Verschlüsselungsalgorithmus

  • Schlüssel

  • Sequenznummer

  • Angaben zur Lebensdauer der SA

Der gesamte Datenverkehr auf einem IPsec-System richtet sich nach Sicherheitsregeln, die in einer weiteren Datenbank, der Security Policy Database (SPD) definiert werden. Die Regeln legen - unter anderem über die Einträge von Absender- und Zieladresse, Absender- und Zielport sowie Protokoll (TCP/UDP) - fest, welche Verbindungen mit Sicherheitsfunktionen versehen werden. Die SPD wertet diese Liste ähnlich aus wie eine Firewall ihre Regelbasis: Alle Einträge werden sequenziell untersucht. Trifft keines der Selektionskriterien zu, kann IPsec das Paket nicht bearbeiten.