Die IP Security oder kurz IPsec Implementierung unter AIX unterstützt das Filtern von IP-Paketen. Mit Hilfe von Regeln kann konfiguriert werden, welche IP Pakete blockiert oder erlaubt sind. Das Filtern von IP-Paketen wird für eingehende und ausgehende Pakete durchgeführt. Es können unterschiedliche Regeln für eingehenden und ausgehenden IP-Verkehr konfiguriert werden.

Das Ziel dieses Kapitels ist die Absicherung eines AIX Systems gegen ungewünschte Zugriffe von Außen. Dazu werden wir alle benötigten Funktionen der Paket-Filterung mit IPsec im Detail vorstellen. IPsec bietet darüber hinaus aber eine ganze Reihe von weiteren Funktionen, wie NAT, Tunnel und IKE, die hier nicht betrachtet werden.

In heutigen Umgebungen werden typischerweise Firewalls als Netzwerk-Komponenten eingesetzt. Diese sollen die Systeme im Netzwerk schützen. In den meisten Fällen verlässt man sich dann auf den Schutz den diese Firewalls bieten und verwendet keine zusätzliche Filterung von IP-Paketen auf diesen Systemen. Allerdings gibt es einige Punkte und Situationen die beachtet werden sollten:

• • Traffic von Systemen im lokalen Netzwerk geht typischerweise nicht über eine Firewall. Ist ein solches lokales System kompromittiert, kann von diesem eine Angriff auf andere lokale Systeme durchgeführt werden. Die Firewall ist dabei nicht involviert und kann daher auch keinen Schutz bieten. Filtering auf dem End-System kann in diesem Fall einen Angriff verhindern.
  • Fehler in der Firewall-Konfiguration können den Zugriff auf sensible Dienste eines Systems erlauben. Die Verwendung von IP-Filtering auf dem System kann solche Dienste effektiv schützen.

Die Verwendung von Filterung mit IPsec sollte als Ergänzung der Sicherheitsmaßnahmen gesehen werden.