Wenn man an IPsec denkt, denkt man an Datenverschlüsselung, aber es kann auch verwendet werden, um Pakete zu verwerfen oder ohne Verschlüsselung zuzulassen. Es kann dies basierend auf der Quell- und Ziel-IP-Adresse und den Port-Nummern tun. Das ist genau das, was eine Firewall tut; Sie können also die IPsec-Funktion von VOS als Firewall verwenden.
Nehmen wir an, Sie haben eine interne Dokumentendienstanwendung, die auf *.12345 lauscht, d. h., sie lauscht auf Port 12345 und akzeptiert eine Verbindung von einer beliebigen Schnittstelle des Moduls. Es wurde gerade eine neue Schnittstelle zum Modul hinzugefügt, die eine Verbindung zum Netzwerk eines Lieferanten herstellt. Niemand aus diesem Netzwerk sollte eine Verbindung mit dem Dokumentendienst herstellen. Idealerweise befindet sich im Netzwerk zwischen dem Modul und dem Netzwerk des Lieferanten eine Firewall, die Port 12345 blockiert, aber das Prinzip der "Defense in Depth" besagt, dass eine netzwerk- UND hostbasierte Firewall besser ist als nur eine Netzwerk-Firewall.
Es gibt mehrere Möglichkeiten, IPsec so zu konfigurieren, dass Verbindungen aus dem Netzwerk des Anbieters verworfen werden. Der einfachste Weg ist, jede Verbindung zu Port 12345 mit einer Ziel-IP-Adresse, die der neuen Schnittstelle entspricht, zu verwerfen. Unter der Annahme, dass die neue Schnittstelle eine IP-Adresse von 172.16.1.1 hat, würde die IPsec-Richtlinie wie folgt aussehen
{daddr 172.16.1.1 ulp tcp dport 12345 dir in} drop {}
IPsec-Richtlinien werden mit dem Befehl ipsec_policy_admin hinzugefügt. Die Standardkonfigurationsdatei ist >system>stcp>ipsec.conf, aber es kann eine beliebige Datei angegeben werden. Damit dies funktioniert, darf das Modul keine Pakete weiterleiten, da sonst eine Verbindungsanfrage an eine andere Schnittstelle des Moduls, die auf der Schnittstelle 172.16.1.1 empfangen wird, weitergeleitet wird. Da das Ziel nicht 172.16.1.1 ist, lässt IPsec die Verbindung zu. Es ist ratsam, die Weiterleitung zu deaktivieren, es sei denn, Sie wissen, dass Sie sie tatsächlich verwenden müssen. Sie schalten die Weiterleitung mit dem Befehl IP_forwarding aus; ja, die IP wird großgeschrieben.
Wenn keine neue Schnittstelle hinzugefügt wurde und sowohl Ihre internen Benutzer als auch Ihr Lieferant dieselbe Schnittstelle verwenden, müssen Sie die Richtlinie auf die Quelladresse und nicht auf die Zieladresse stützen. Wenn wir annehmen, dass das Netzwerk des Lieferanten 192.168.1.0/24 ist, sieht die Richtlinie wie folgt aus
{saddr 192.168.1.0/24 ulp tcp dport 12345 dir in} drop {}
Dies erlaubt natürlich immer noch Hosts im Netzwerk des Anbieters, sich mit anderen Diensten auf dem Modul zu verbinden. Sie können die Anbieter auf nur einen Dienst beschränken, z. B. den, der auf Port 24680 lauscht, mit den folgenden Richtlinien
{saddr 192.168.1.0/24 ulp tcp dport 24680 dir in} bypass {}
{saddr 192.168.1.0/24 ulp tcp dir in} drop {}
Wenn der Dokumentendienst nur die Dokumente einer Abteilung hostet, können Sie eine Richtlinie einrichten, die Verbindungen zu Port 12345 nur aus dem Subnetz dieser Abteilung zulässt, z. B. 10.1.1.0/28 mit den Richtlinien
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}
Die Reihenfolge der Richtlinien ist wichtig, denn wenn Sie die Reihenfolge umkehren, kann niemand eine Verbindung zu Port 12345 herstellen.
Wenn Ihr CIO benötigt, dass auch er Zugriff auf die Dokumente hat, können Sie eine Richtlinie für die Adresse der Arbeitsstation des CIO hinzufügen
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 10.7.7.7 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}
Wenn Sie mit IPsec experimentieren, stellen Sie immer sicher, dass Sie eine Richtlinie haben, die Ihnen eine Verbindung ermöglicht. IPsec-Richtlinien werden ausgeführt, sobald sie hinzugefügt werden, Sie müssen nichts neu starten oder neu einrichten, so dass eine falsch eingegebene Richtlinie Sie vom Modul trennen könnte. Wenn die IP-Adresse Ihrer Arbeitsstation beispielsweise 10.1.100.50 lautet, würde ich die folgende Richtlinie immer zuerst in meine Richtliniendatei einfügen
{saddr 10.1.100.50 ulp tcp dir in} bypass {}