Δεν υπάρχει ενσωματωμένος μηχανισμός εντός του πρωτοκόλλου IPSEC για να ελέγξετε για λίστες πρόσβασης με καθρέφτη. Αντ 'αυτού, η διαδικασία λειτουργεί έτσι:
1. Ανεξάρτητη διαμόρφωση: Οι λίστες ελέγχου πρόσβασης (ACLs) και οι πολιτικές IPSEC διαμορφώνονται ξεχωριστά. Μπορείτε να διαμορφώσετε τα ACL σας σε δρομολογητές ή τείχη προστασίας για να ελέγξετε την κυκλοφορία δικτύου βάσει διευθύνσεων IP προέλευσης/προορισμού, θύρες και άλλα κριτήρια. Ξεχωριστά, μπορείτε να διαμορφώσετε τις πολιτικές IPSEC που καθορίζουν με ποιους συναδέλφους θα διαπραγματευτούν, ποιοι κρυπτογραφικοί αλγόριθμοι που θα χρησιμοποιήσουν και ποια κυκλοφορία (με βάση τους επιλογείς όπως οι διευθύνσεις IP και οι θύρες) θα προστατεύονται από τη σήραγγα.
2. Η επιτυχία της διαπραγμάτευσης IPSEC συνεπάγεται ένα βαθμό αντιστοίχισης. Εάν η πολιτική IPSEC επιτρέπει ένα συγκεκριμένο ζεύγος διευθύνσεων IP και το εύρος θύρας και το ACLS και στα δύο άκρα επιτρέπει την ίδια κίνηση να μεταφέρει, τότε μπορεί να δημιουργηθεί η σύνδεση. Εάν το ACLS * μπλοκάρει * την κυκλοφορία, παρόλο που η πολιτική IPSEC το επιτρέπει, η σύνδεση θα αποτύχει - η διαπραγμάτευση IPSEC μπορεί να επιτύχει, αλλά η προστατευμένη κυκλοφορία δεν θα είναι σε θέση να διασχίσει το δίκτυο.
3. Φιλτράρισμα κυκλοφορίας: Το ACLS ενεργεί ως φίλτρο * πριν * και * μετά την κρυπτογράφηση IPSEC. Αυτό σημαίνει:
* Πριν από το iPsec: Το ACLS ελέγχει εάν επιτρέπεται το αρχικό πακέτο (πριν από την κρυπτογράφηση). Εάν είναι μπλοκαρισμένο, η IPSEC δεν θα εμπλακεί καν.
* μετά το iPsec: Μετά την αποκρυπτογράφηση, ο τελικός έλεγχος ελέγχει ξανά με τα ACL του για να εξασφαλίσει ότι επιτρέπεται η αποκρυπτογραφημένη κυκλοφορία.
4. Δεν υπάρχει άμεση σύγκριση: Δεν υπάρχει αυτοματοποιημένη διαδικασία όπου η IPSEC συγκρίνει ρητά δύο ACLs για να επαληθεύσει ότι είναι πανομοιότυπα ή "αντικατοπτρίζονται". Η ασφάλεια της σύνδεσης βασίζεται στη σωστή διαμόρφωση τόσο των πολιτικών IPSEC * όσο και των μηχανισμών ελέγχου πρόσβασης του δικτύου σε κάθε πλευρά της σήραγγας.
Εν ολίγοις, ο "καθρέφτης" επιτυγχάνεται αποτελεσματικά εξασφαλίζοντας συνεπή διαμόρφωση και στις δύο πλευρές:και οι δύο πλευρές πρέπει να επιτρέπουν την κυκλοφορία που σκοπεύει να προστατεύσει η IPSEC. Οποιαδήποτε απόκλιση (π.χ. η μία πλευρά επιτρέπει την κυκλοφορία των άλλων μπλοκ) θα οδηγήσει σε προβλήματα συνδεσιμότητας, όχι ένα συγκεκριμένο σφάλμα IPSEC που υποδεικνύει μια αναντιστοιχία. Ο διαχειριστής είναι υπεύθυνος για να βεβαιωθεί ότι αυτές οι διαμορφώσεις ευθυγραμμίζονται. Το ίδιο το IPSEC δεν χειρίζεται αυτή την επαλήθευση απευθείας.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα