FB18 - Das Forum für Informatik

fb18.de / Diplom Informatik / Angewandte Informatik (HS)

IPSec: Unterschied/Definition von Security Policy und Security Assocation

IPSec: Unterschied/Definition von Security Policy und Security Assocation 2006-09-28 15:44
Farcon
An dieser Stelle verstehe ich IPSec überhaupt nicht.

Eine Security Association (SA) wird identifiziert durch Ziel-IP, IPSec Protocol (ESP oder AH) und SPI. Alle SAs werden in der Security Association Database (SADB) abgespeichert und anhand der genannten Daten identifizert.

Wenn ich also ein Packet verschicke/empfange, schaue ich in der SADB nach, welche SA ich auf dieses Paket anwende.

Aber was machen dann die Security Policy ?

Re: IPSec: Unterschied/Definition von Security Policy und Security Assocation 2006-09-28 16:25
Popcorn
Eine SA wird nicht direkt durch Ziel-IP, etc… bestimmt. Ziel/Quell-IP, etc… bestimmten einen Eintrag in der Security Policy Database (SPD). Und so ein Eintrag ist dann ein Verweis auf entsprechende SA (Edit: Oder eine Gruppe oder die Aussage: "Hey, wir brauchen 'ne neue SA!"). Kurz kann man natürlich auch sagen, dass die SA jetzt nur Ziel-IP, etc… bestimmt wurden, aber dann fragt man sich halt, was die Security Policy will. :)