Security im Überblick (Teil 4)
Security auf dem Network Layer
Security Association Database
Anhand des Tripels lässt sich die SA als Index in der Security Association Database (SAD) verwalten. Dazu werden zu jeder geschützten Netzwerkverbindung folgende sicherheitsrelevante Konfigurationsdaten gespeichert:
IPsec-Dienst (AH oder ESP)
Übertragungsmodus (Transport vs. Tunnel Modus)
Authentifikations- und Verschlüsselungsalgorithmus
Schlüssel
Sequenznummer
Angaben zur Lebensdauer der SA
Der gesamte Datenverkehr auf einem IPsec-System richtet sich nach Sicherheitsregeln, die in einer weiteren Datenbank, der Security Policy Database (SPD) definiert werden. Die Regeln legen - unter anderem über die Einträge von Absender- und Zieladresse, Absender- und Zielport sowie Protokoll (TCP/UDP) - fest, welche Verbindungen mit Sicherheitsfunktionen versehen werden. Die SPD wertet diese Liste ähnlich aus wie eine Firewall ihre Regelbasis: Alle Einträge werden sequenziell untersucht. Trifft keines der Selektionskriterien zu, kann IPsec das Paket nicht bearbeiten.