AUF DIESER SEITE
Übersicht über IPsec-Sicherheitsassoziationen
IPsec-Sicherheitszuordnungen
Eine weitere IPSec-Überlegung ist die Art der Sicherheitszuordnung, die Sie implementieren möchten. Bei einer Sicherheitszuordnung handelt es sich um eine Reihe von IPSec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPSec-Beziehung herstellen. Diese Spezifikationen umfassen Einstellungen für den Authentifizierungstyp, die Verschlüsselung und das IPSec-Protokoll, die beim Herstellen der IPSec-Verbindung verwendet werden sollen. Eine Sicherheitszuordnung kann entweder unidirektional oder bidirektional sein, je nachdem, welche Entscheidungen der Netzwerkadministrator getroffen hat. Eine Sicherheitszuordnung wird durch einen Sicherheitsparameterindex (Security Parameter Index, SPI), eine IPv4- oder IPv6-Zieladresse und eine Sicherheitsprotokollkennung (AH oder ESP) eindeutig identifiziert.
Sie können IPSec mit einer voreingestellten, vorab freigegebenen manuellen Sicherheitszuordnung konfigurieren oder IKE verwenden, um eine dynamische Sicherheitszuordnung einzurichten. Bei manuellen Sicherheitszuordnungen müssen Sie alle IPSec-Anforderungen im Voraus angeben. Umgekehrt enthalten dynamische IKE-Sicherheitszuordnungen in der Regel Konfigurationsstandards für die höchsten Authentifizierungs- und Verschlüsselungsebenen.
IPSec-Modi
Bei der Konfiguration von IPSec ist die letzte wichtige Überlegung, welche Art von IPSec-Modus Sie in Ihrem Netzwerk implementieren möchten. Das Junos-Betriebssystem unterstützt die folgenden IPSec-Modi:
Der Tunnelmodus wird im Junos OS sowohl für AH als auch für ESP unterstützt und ist die übliche Wahl für einen Router. Im Tunnelmodus werden die SA und die zugehörigen Protokolle auf getunnelte IPv4- oder IPv6-Pakete angewendet. Bei einer Tunnelmodus-Sicherheitszuordnung gibt ein äußerer IP-Header das IPSec-Verarbeitungsziel an, und ein innerer IP-Header gibt das endgültige Ziel für das Paket an. Der Sicherheitsprotokoll-Header wird nach dem äußeren IP-Header und vor dem inneren IP-Header angezeigt. Darüber hinaus gibt es leichte Unterschiede für den Tunnelmodus, wenn Sie ihn mit AH und ESP implementieren:
Bei AH sind Teile des äußeren IP-Headers sowie das gesamte getunnelte IP-Paket geschützt.
Bei ESP ist nur das getunnelte Paket geschützt, nicht der äußere Header.
Wenn eine Seite einer Sicherheitszuordnung ein Sicherheitsgateway ist (z. B. ein Router), muss die Sicherheitszuordnung den Tunnelmodus verwenden. Wenn Datenverkehr (z. B. SNMP-Befehle oder BGP-Sitzungen) jedoch für einen Router bestimmt ist, fungiert das System als Host. Der Transportmodus ist in diesem Fall zulässig, da das System nicht als Sicherheitsgateway fungiert und keinen Transitdatenverkehr sendet oder empfängt.
Der Transportmodus stellt eine Sicherheitszuordnung zwischen zwei Hosts bereit. Im Transportmodus bieten die Protokolle Schutz vor allem für Protokolle der oberen Schicht. Bei IPv4- und IPv6-Paketen wird unmittelbar nach dem IP-Header und allen Optionen sowie vor allen Protokollen höherer Schichten (z. B. TCP oder UDP) ein Transportmodus-Sicherheitsprotokoll-Header angezeigt. Es gibt geringfügige Unterschiede für den Transportmodus, wenn Sie ihn mit AH und ESP implementieren:
Bei AH werden ausgewählte Teile des IP-Headers sowie ausgewählte Teile der Erweiterungsheader und ausgewählte Optionen innerhalb des IPv4-Headers geschützt.
Bei ESP werden nur die Protokolle der höheren Schicht geschützt, nicht der IP-Header oder Erweiterungsheader vor dem ESP-Header.
Die Unterstützung für den IPSec-Transportmodus beschränkt sich in erster Linie auf die Routing-Authentifizierung und auf bestimmte Konfigurationen, bei denen Junos FIPs-Code verwendet wird.