Quando le persone pensano a IPsec pensano alla cifratura dei dati, ma può anche essere usata per far cadere i pacchetti o permettere che vengano lasciati senza cifratura. Può farlo in base all'indirizzo IP di origine e di destinazione e ai numeri di porta. Che è esattamente ciò che fa un firewall; quindi è possibile utilizzare la funzione IPsec di VOS come firewall.
Per esempio, diciamo che avete un'applicazione interna di servizio documenti che ascolta su *.12345, cioè ascolta sulla porta 12345 e accetta una connessione da qualsiasi interfaccia del modulo. Una nuova interfaccia è stata appena aggiunta al modulo che si collega alla rete di un fornitore. Nessuno di quella rete dovrebbe connettersi al servizio documenti. Idealmente c'è un firewall sulla rete tra il modulo e la rete del fornitore che blocca la porta 12345 ma il principio della "difesa in profondità" dice che un firewall basato su rete E host è meglio di un semplice firewall di rete.
Ci sono diversi modi per configurare IPsec per far cadere le connessioni dalla rete del fornitore. Il modo più semplice è quello di abbandonare qualsiasi connessione alla porta 12345 con un indirizzo IP di destinazione che corrisponde alla nuova interfaccia. Assumendo che la nuova interfaccia abbia un indirizzo IP di 172.16.1.1 la policy IPsec sarebbe come
{daddr 172.16.1.1 ulp tcp dport 12345 dir in} drop {}
Le politiche IPsec vengono aggiunte con il comando ipsec_policy_admin. Il file di configurazione predefinito è >sistema>stcp>ipsec.conf, ma qualsiasi file può essere specificato. Perché questo funzioni, il modulo non deve inoltrare pacchetti, altrimenti verrà inoltrata una richiesta di connessione ad un'altra delle interfacce del modulo che viene ricevuta sull'interfaccia 172.16.1.1. Poiché la destinazione non è 172.16.1.1.1 IPsec consentirà la connessione. È una buona idea disattivare l'inoltro a meno che non si sappia che è effettivamente necessario utilizzarlo. Si disattiva l'inoltro con il comando IP_forwarding; sì, l'IP è maiuscolo.
Se non è stata aggiunta una nuova interfaccia e sia i vostri utenti interni che il vostro fornitore useranno la stessa interfaccia, dovete basare la policy sull'indirizzo sorgente, non su quello di destinazione. Se assumiamo che la rete del fornitore sia 192.168.1.0/24, la policy sarà come
{saddr 192.168.1.0/24 ulp tcp dport 12345 dir in} drop {}
Questo naturalmente permette ancora agli host sulla rete del fornitore di connettersi ad altri servizi sul modulo. Potete limitare i fornitori ad un solo servizio, diciamo quello in ascolto sulla porta 24680 con le seguenti politiche
{saddr 192.168.1.0/24 ulp tcp dport 24680 dir in} bypass {}
{saddr 192.168.1.0/24 ulp tcp dir in} drop {}
Se il servizio documenti ospita solo i documenti di un dipartimento, si può impostare una politica che permetta connessioni alla porta 12345 solo dalla sottorete di quel dipartimento, diciamo 10.1.1.0/28 con le politiche
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}
L'ordine delle politiche è importante, se invertite l'ordine nessuno sarà in grado di connettersi alla porta 12345.
Se il vostro CIO richiede che anche lui abbia accesso ai documenti, potete aggiungere una policy per l'indirizzo della workstation del CIO
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 10.7.7.7 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}
Mentre sperimentate con IPsec siate sempre sicuri di avere una policy in atto che vi permetta una connessione, le policy IPsec sono attivate non appena vengono aggiunte, non avete bisogno di riavviare o riavviare nulla quindi una policy digitata in modo errato potrebbe disconnettervi dal modulo. Per esempio assumendo che l'indirizzo IP della vostra stazione di lavoro sia 10.1.100.50 metterei sempre la seguente policy per prima nel mio file di policy
{saddr 10.1.100.50 ulp tcp dir in} bypass {}