Wenn Menschen an IPsec denken, denken sie an Datenverschlüsselung, aber es kann auch verwendet werden, um Pakete zu verwerfen oder ohne Verschlüsselung zuzulassen. Dies kann anhand der Quell- und Ziel-IP-Adresse und der Portnummern erfolgen. Genau das macht eine Firewall. Sie können also die IPsec-Funktion von VOS als Firewall verwenden.
Nehmen wir beispielsweise an, Sie haben eine interne Dokumentendienstanwendung, die auf *.12345 lauscht, d. h. sie lauscht auf Port 12345 und akzeptiert eine Verbindung von jeder Schnittstelle des Moduls. Dem Modul wurde gerade eine neue Schnittstelle hinzugefügt, die eine Verbindung zum Netzwerk eines Lieferanten herstellt. Niemand aus diesem Netzwerk sollte eine Verbindung zum Dokumentendienst herstellen. Im Idealfall befindet sich zwischen dem Modul und dem Netzwerk des Lieferanten eine Firewall, die Port 12345 blockiert, aber nach dem Prinzip der „tiefgreifenden Verteidigung” ist eine netzwerk- UND hostbasierte Firewall besser als nur eine Netzwerk-Firewall.
Es gibt mehrere Möglichkeiten, IPsec so zu konfigurieren, dass Verbindungen aus dem Netzwerk des Lieferanten unterbrochen werden. Am einfachsten ist es, alle Verbindungen zum Port 12345 mit einer Ziel-IP-Adresse, die der neuen Schnittstelle entspricht, zu unterbrechen. Angenommen, die neue Schnittstelle hat die IP-Adresse 172.16.1.1, würde die IPsec-Richtlinie wie folgt aussehen:
{daddr 172.16.1.1 ulp tcp dport 12345 dir in} drop {}
IPsec-Richtlinien werden mit dem Befehl ipsec_policy_admin hinzugefügt. Die Standardkonfigurationsdatei ist >system>stcp>ipsec.conf, es kann jedoch jede beliebige Datei angegeben werden. Damit dies funktioniert, darf das Modul keine Pakete weiterleiten, da sonst eine Verbindungsanfrage an eine andere Schnittstelle des Moduls, die auf der Schnittstelle 172.16.1.1 empfangen wird, weitergeleitet wird. Da das Ziel nicht 172.16.1.1 ist, lässt IPsec die Verbindung zu. Es ist ratsam, die Weiterleitung zu deaktivieren, es sei denn, Sie wissen, dass Sie sie tatsächlich benötigen. Sie deaktivieren die Weiterleitung mit dem Befehl IP_forwarding; ja, das IP ist in Großbuchstaben geschrieben.
Wenn keine neue Schnittstelle hinzugefügt wurde und sowohl Ihre internen Benutzer als auch Ihr Lieferant dieselbe Schnittstelle verwenden, müssen Sie die Richtlinie auf die Quelladresse und nicht auf die Zieladresse stützen. Wenn wir davon ausgehen, dass das Netzwerk des Lieferanten 192.168.1.0/24 lautet, sieht die Richtlinie wie folgt aus:
{saddr 192.168.1.0/24 ulp tcp dport 12345 dir in} drop {}
Dadurch können Hosts im Netzwerk des Anbieters natürlich weiterhin eine Verbindung zu anderen Diensten auf dem Modul herstellen. Sie können die Anbieter auf einen einzigen Dienst beschränken, beispielsweise denjenigen, der auf Port 24680 lauscht, mit den folgenden Richtlinien
{saddr 192.168.1.0/24 ulp tcp dport 24680 dir in} bypass {}
{saddr 192.168.1.0/24 ulp tcp dir in} drop {}
Wenn der Dokumentendienst nur die Dokumente einer Abteilung hostet, können Sie eine Richtlinie einrichten, die Verbindungen zu Port 12345 nur aus dem Subnetz dieser Abteilung zulässt, beispielsweise 10.1.1.0/28 mit den folgenden Richtlinien
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}
Die Reihenfolge der Richtlinien ist wichtig. Wenn Sie die Reihenfolge umkehren, kann niemand eine Verbindung zu Port 12345 herstellen.
Wenn Ihr CIO ebenfalls Zugriff auf die Dokumente benötigt, können Sie eine Richtlinie für die Adresse des CIO-Arbeitsplatzes hinzufügen
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 10.7.7.7 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}
Wenn Sie mit IPsec experimentieren, stellen Sie immer sicher, dass Sie über eine Richtlinie verfügen, die Ihnen eine Verbindung ermöglicht. IPsec-Richtlinien werden sofort nach ihrer Hinzufügung wirksam, Sie müssen nichts neu starten oder neu booten, sodass eine falsch eingegebene Richtlinie dazu führen kann, dass Sie vom Modul getrennt werden. Angenommen, die IP-Adresse Ihrer Workstation lautet 10.1.100.50, würde ich die folgende Richtlinie immer an erster Stelle in meiner Richtliniendatei platzieren
{saddr 10.1.100.50 ulp tcp dir in} bypass {}