Ako hodnotí IP SEC, či sú zoznamy prístupov odrážané ako požiadavka na rokovania o jeho bezpečnostnom združení?

IPSEC nie je priamo „nevyhodnotiť“ zoznamy prístupov v zmysle porovnania zrkadlového zoznamu. Spôsob, akým IPSEC zaisťuje, že jeho bezpečnostné asociácie (SAS) sú v súlade s riadením prístupu, je nepriamy a spolieha sa na súhru medzi samotným IPSEC a mechanizmami riadenia prístupu podkladovej siete (ako sú ACL, firewall atď.).

V protokole IPSEC nie je vstavaný mechanizmus na kontrolu zoznamov zrkadiel. Namiesto toho proces funguje takto:

1. Nezávislá konfigurácia: Zoznamy riadenia prístupu (ACL) a politiky IPSEC sú nakonfigurované osobitne. Konfigurujete svoje ACLS na smerovačoch alebo firewall na riadenie sieťového prenosu na základe zdrojových/cieľových IP adries, portov a ďalších kritérií. Samostatne nakonfigurujete politiky IPSec, ktoré špecifikujú, s ktorými kolegami budú rokovať, s ktorými kryptografickými algoritmami bude používať a akú prenos (na základe selektorov, ako sú adresy IP a porty), chránený tunelom.

2. implicitné porovnávanie: Úspech vyjednávania IPSEC znamená stupeň porovnávania. Ak politika IPSec umožňuje konkrétny pár IP adresy a rozsah portov a ACL na oboch koncoch umožňujú prepravu toho istého prenosu, potom je možné nadviazať pripojenie. Ak ACLS * blok * prenos, aj keď to umožní politika IPSEC, spojenie zlyhá - vyjednávanie IPSec by mohlo uspieť, ale chránený prenos nebude schopný prejsť sieťou.

3. Filtrovanie dopravy: ACL pôsobia ako filter * pred * a * po * ipsec šifrovanie. To znamená:

* pred ipsec: ACLS skontrolujte, či je povolený počiatočný paket (pred šifrovaním). Ak je zablokovaný, IPSec sa ani nezúčastňuje.

* po ipsec: Po dešifrovaní sa prijímací koniec znova kontroluje pomocou svojich ACL, aby sa zabezpečilo, že je povolený dešifrovaný prenos.

4. Žiadne priame porovnanie: Neexistuje žiadny automatizovaný proces, v ktorom IPSec výslovne porovnáva dva ACL, aby overil, že sú identické alebo „zrkadlené“. Bezpečnosť pripojenia sa spolieha na správnu konfiguráciu politík IPSec * a * mechanizmy riadenia prístupu siete na každej strane tunela.

Stručne povedané, „zrkadlenie“ sa účinne dosiahne zabezpečením konzistentnej konfigurácie na oboch stranách:obe strany musia umožniť prevádzku, ktorú IPSEC má v úmysle chrániť. Akákoľvek nezrovnalosť (napr. Jedna strana umožňuje prenos prenosu druhé bloky) bude mať za následok problémy s pripojením, nie konkrétna chyba IPSEC, ktorá naznačuje nesúlad. Správca je zodpovedný za zabezpečenie zarovnania týchto konfigurácií; Samotný IPSec toto overenie nezaoberá priamo.

• Predchádzajúca strana: Čo vyplní medzery v bezpečí a slabé stránky softvéru? 
• Ďalšia strana: Aká vrstva OSI poskytuje autentifikáciu?