IPsec "evalueert" niet rechtstreeks toegangslijsten in de zin van het vergelijken van een gespiegelde lijst. De manier waarop IPsec ervoor zorgt dat zijn beveiligingsassociaties (SA's) op één lijn liggen met toegangscontrole is indirect en is afhankelijk van de wisselwerking tussen IPsec zelf en de toegangscontrolemechanismen van het onderliggende netwerk (zoals ACL's, firewalls, enz.).
Er is geen ingebouwd mechanisme binnen het IPsec-protocol om te controleren op gespiegelde toegangslijsten. In plaats daarvan werkt het proces als volgt:
1. Onafhankelijke configuratie: Toegangscontrolelijsten (ACL's) en IPsec-beleid worden afzonderlijk geconfigureerd. U configureert uw ACL's op routers of firewalls om het netwerkverkeer te controleren op basis van bron-/doel-IP-adressen, poorten en andere criteria. Afzonderlijk configureert u IPsec-beleid waarin u specificeert met welke peers er wordt onderhandeld, welke cryptografische algoritmen moeten worden gebruikt en welk verkeer (op basis van selectors zoals IP-adressen en poorten) door de tunnel wordt beschermd.
2. Impliciete matching: Het succes van de IPsec-onderhandelingen impliceert een zekere mate van matching. Als het IPsec-beleid een specifiek IP-adrespaar en poortbereik toestaat, en de ACL's aan beide uiteinden hetzelfde verkeer doorlaten, kan de verbinding tot stand worden gebracht. Als de ACL's het verkeer *blokkeren*, ook al staat het IPsec-beleid dit toe, zal de verbinding mislukken. De IPsec-onderhandeling kan slagen, maar het beschermde verkeer kan het netwerk niet passeren.
3. Verkeersfiltering: ACL's fungeren als filter *voor* en *na* IPsec-codering. Dit betekent:
* Vóór IPsec: De ACL's controleren of het initiële pakket (vóór de codering) is toegestaan. Als het wordt geblokkeerd, zal IPsec er niet eens bij betrokken zijn.
* Na IPsec: Na de decodering controleert de ontvangende kant opnieuw met zijn ACL's om er zeker van te zijn dat het gedecodeerde verkeer is toegestaan.
4. Geen directe vergelijking: Er is geen geautomatiseerd proces waarbij IPsec expliciet twee ACL's vergelijkt om te verifiëren dat ze identiek of 'gespiegeld' zijn. De veiligheid van de verbinding is afhankelijk van de juiste configuratie van zowel het IPsec-beleid *en* de toegangscontrolemechanismen van het netwerk aan elke kant van de tunnel.
Kortom, het ‘spiegelen’ wordt effectief bereikt door te zorgen voor een consistente configuratie aan beide kanten:beide kanten moeten het verkeer toestaan dat IPsec wil beschermen. Elke discrepantie (bijvoorbeeld de ene kant staat verkeer toe aan de andere blokken) zal resulteren in connectiviteitsproblemen, en niet in een specifieke IPsec-fout die wijst op een mismatch. De beheerder is ervoor verantwoordelijk dat deze configuraties op één lijn liggen; IPsec zelf handelt deze verificatie niet rechtstreeks af. |