web-dev-qa-db-ja.com

IPSecでSADおよびSPDの定義と目的は何ですか?

セキュリティアプリケーションデータベースとセキュリティポリシーデータベースとは何ですか? OUTBOUNDおよびINBOUNDパケットのモデルを処理する上での役割は何ですか?

PROCESSING MODEL FOR OUTBOUND PACKETS

PROCESSING MODEL FOR INBOUND PACKETS

6
ie2020

まず、「セキュリティアプリケーションデータベース」が何を意味するのかわからないので、そのような用語を聞いたことがなく、用語をグーグルで調べたときにnotgetany結果は略語の理解を反映しているように見えますが、余談です。


SAD-セキュリティアソシエーションデータベース

SDP-セキュリティポリシーデータベース

SA-セキュリティアソシエーション

AH-認証ヘッダー

ESP-セキュリティペイロードのカプセル化


セキュリティアソシエーション

セキュリティアソシエーション(SA)はIPSecを理解する上で絶対に不可欠です。つまり、SAは、2つ以上のエンティティ間の関係であり、これらのエンティティがセキュリティを使用して安全に通信する方法を記述します。各IPSec接続は、セキュリティアソシエーションは、IPSecがこのIPSecを使用せずに同時セッションを追跡するために使用する方法です。

次のセクションでは、セキュリティアソシエーションデータベースの外観について説明します。IPSecピアが両側で一致する必要があることを忘れないでください。そうしないと、接続が機能しません。 SAパラメータはネットワーク管理者によって構成され、SAデータベースに格納されます。次の表は、管理者が構成するパラメータを示しています。

SA Parameter Table


セキュリティアソシエーションデータベース

セキュリティアソシエーションデータベースは、インバウンドおよびアウトバウンドトラフィックのアクティブなセキュリティアソシエーションをすべて含むテーブルであり、各エントリは個々のSAのパラメータを格納します。 SADは通常、次のエントリを格納します。

  • セキュリティパラメータインデックス
  • 宛先アドレス
  • シーケンス番号
  • アンチリプレイウィンドウ
  • IPセキュリティプロトコル
  • アルゴリズム
  • キー
  • SAライフタイム
  • IPSec

セキュリティポリシーデータベース

セキュリティポリシーデータベースには、パケットがIPSec処理の対象かどうかを決定するルールが含まれています。インバウンドとアウトバウンドを含むすべてのトラフィックは、このデータベースを通じて処理される必要があります。一致した最初のポリシーがトラフィックの処理に使用されます。各ポリシーにはポリシーインデックスがあり、テーブルは上から下に始まり、上が最も優先され、下が最も優先されません。ただし、パケットが適切なポリシーを見つけられない場合、「NO-POLICY」ステータスが返されます。

テーブル内の各ポリシーには1つ以上のポリシーコンテンツがあり、各ポリシーコンテンツはAHまたはESPの両方に対応することはできません!ポリシーが両方を必要とする場合、2つの別々のポリシーコンテンツが必要です。これらのポリシーは、次のコンテンツポインターを使用してリンクされます。最も単純な形式では、SPDはIPトラフィックのサブセットを定義し、そのトラフィックをSAにポイントします。


すべてについてさらに読むために、IPSecについて知る必要があるでしょう Wikipedia page を見て、関連するRFCを読むことを強くお勧めします。

2
J.J