Non esiste un meccanismo integrato all'interno del protocollo IPSEC per verificare la presenza di elenchi di accesso a specchio. Invece, il processo funziona in questo modo:
1. Configurazione indipendente: Gli elenchi di controllo degli accessi (ACLS) e le politiche IPSEC sono configurati separatamente. Configurare i tuoi ACL su router o firewall per controllare il traffico di rete in base a indirizzi IP di origine/destinazione, porte e altri criteri. Separatamente, si configurano le politiche IPSEC che specificano con quali peer negozieranno, quali algoritmi crittografici utilizzare e quale traffico (basato su selettori come indirizzi IP e porte) sarà protetto dal tunnel.
2. Matching implicito: Il successo della negoziazione IPSEC implica un grado di abbinamento. Se il criterio IPSEC consente una coppia di indirizzi IP e un intervallo di porte specifici e gli ACL su entrambe le estremità consentono lo stesso traffico di transitare, è possibile stabilire la connessione. Se l'ACLS * blocca * il traffico anche se la politica IPSEC lo consente, la connessione fallirà:la negoziazione IPSEC potrebbe avere successo, ma il traffico protetto non sarà in grado di attraversare la rete.
3. Filtro del traffico: ACLS fungono da filtro * prima * e * dopo * crittografia ipsec. Questo significa:
* prima di ipsec: Il controllo ACLS se è consentito il pacchetto iniziale (prima della crittografia). Se è bloccato, IPSEC non sarà nemmeno coinvolto.
* dopo IPSEC: Dopo la decrittografia, i controlli finali di ricezione di nuovo con i suoi ACL per garantire che il traffico decrittografato sia consentito.
4. Nessun confronto diretto: Non esiste un processo automatizzato in cui IPSEC confronta esplicitamente due ACL per verificare che siano identici o "specchi". La sicurezza della connessione si basa sulla corretta configurazione di entrambe le politiche IPSEC * e * I meccanismi di controllo dell'accesso della rete su ciascun lato del tunnel.
In breve, il "mirroring" viene effettivamente raggiunto garantendo una configurazione coerente su entrambi i lati:entrambi i lati devono consentire il traffico che IPSEC intende proteggere. Qualsiasi discrepanza (ad es. Una parte consente al traffico gli altri blocchi) comporterà problemi di connettività, non un errore IPSEC specifico che indica una mancata corrispondenza. L'amministratore è responsabile di garantire che queste configurazioni si allineino; Ipsec stesso non gestisce direttamente questa verifica.
networking © www.354353.com