IPSec "bewerten" Zugriffslisten nicht direkt im Sinne des Vergleichs einer gespiegelten Liste. Die Art und Weise, wie IPSec sicherstellt, dass seine Sicherheitsverbände (SAS) mit der Zugriffskontrolle übereinstimmen, ist indirekt und basiert auf dem Zusammenspiel zwischen IPSec selbst und den Zugriffskontrollmechanismen des zugrunde liegenden Netzwerks (wie ACLs, Firewalls usw.).
Es gibt keinen eingebauten Mechanismus innerhalb des IPSec-Protokolls, um nach gespiegelten Zugriffslisten zu überprüfen. Stattdessen funktioniert der Prozess wie folgt:
1. Unabhängige Konfiguration: Access Control Lists (ACLS) und IPSec -Richtlinien werden separat konfiguriert. Sie konfigurieren Ihre ACLs auf Routern oder Firewalls, um den Netzwerkverkehr anhand von IP -Adressen, Ports und anderen Kriterien zu steuern. Unabhängig davon konfigurieren Sie IPSec -Richtlinien, in denen Sie angeben, mit welchen Kollegen sie verhandeln werden, welche kryptografischen Algorithmen zu verwenden sind und welcher Verkehr (basierend auf Selektoren wie IP -Adressen und Ports) vom Tunnel geschützt werden.
2. implizite Matching: Der Erfolg der IPSec -Verhandlung impliziert ein gewisses Maß an Übereinstimmung. Wenn die IPSec -Richtlinie ein spezifisches IP -Adresspaar und einen Portbereich ermöglicht und die ACLs an beiden Enden denselben Verkehr zum Transit ermöglichen, kann die Verbindung hergestellt werden. Wenn der ACLS * Block * den Datenverkehr, obwohl die IPSec -Richtlinie dies zulässt, wird die Verbindung fehlschlagen - die IPSec -Verhandlung könnte erfolgreich sein, aber der geschützte Verkehr kann das Netzwerk nicht durchqueren.
3. Verkehrsfilterung: ACLs wirken als Filter * vor * und * nach * ipsec -Verschlüsselung. Das heisst:
* vor ipsec: Das ACLS prüft, ob das Anfangspaket (vor der Verschlüsselung) zulässig ist. Wenn es blockiert ist, wird IPSec nicht einmal involviert.
* nach ipsec: Nach der Entschlüsselung prüft die Empfangsend erneut mit seinen ACLs, um sicherzustellen, dass der entschlüsselte Verkehr zulässig ist.
4. Kein direkter Vergleich: Es gibt keinen automatisierten Prozess, bei dem IPSec explizit zwei ACLs vergleicht, um zu überprüfen, ob sie identisch oder "gespiegelt" sind. Die Sicherheit der Verbindung basiert auf der richtigen Konfiguration sowohl der IPSec -Richtlinien * als auch der Zugriffskontrollmechanismen des Netzwerks auf jeder Seite des Tunnels.
Kurz gesagt, die "Spiegelung" wird effektiv erreicht, indem auf beiden Seiten eine konsistente Konfiguration sichergestellt wird:Beide Seiten müssen den Datenverkehr zulassen, den IPSec schützen möchte. Jede Diskrepanz (z. B. eine Seite ermöglicht den Verkehr, die anderen Blöcke), führt zu Konnektivitätsproblemen, nicht zu einem bestimmten IPSec -Fehler, der eine Nichtübereinstimmung anzeigt. Der Administrator ist dafür verantwortlich, dass diese Konfigurationen entsprechen. IPSec selbst behandelt diese Überprüfung nicht direkt.
