Obsah:
Definice - Co znamená Security Association (SA)?
Přidružení zabezpečení (SA) je logické spojení zahrnující dvě zařízení, která přenášejí data. S pomocí definovaných protokolů IPsec nabízejí SA ochranu dat pro jednosměrný provoz. Obecně je tunel IPsec vybaven dvěma jednosměrnými SA, které nabízejí bezpečný, plně duplexní kanál pro data.
Přidružení zabezpečení se skládá z funkcí, jako je šifrovací klíč provozu, kryptografický algoritmus a režim, a také parametrů požadovaných pro síťová data.
Techopedia vysvětluje Security Association (SA)
Protokol přidružení zabezpečení Internetu a správa klíčů (ISAKMP) poskytuje rámec pro zřizování SA, zatímco autentizovaný klíčovací materiál nabízí protokoly, jako je Internet Key Exchange (IKE) a Kerberized Internet Negotiation Keys (KINK).
S SA mohou podniky specificky spravovat, které zdroje mohou bezpečně komunikovat podle bezpečnostní politiky. Za tímto účelem mohou podniky sestavit několik SA, aby usnadnily různé zabezpečené VPN navíc k definování SA uvnitř VPN pro podporu mnoha různých jednotek i obchodních partnerů.
Asociace zabezpečení používají pro svou činnost režimy. Režim je metoda, při které se na paket aplikuje protokol IPsec. IPsec se používá v transportním nebo tunelovém režimu. Obecně je transportní režim využíván k ochraně IPsec tunelu mezi hostiteli, zatímco režim tunelu je implementován pro ochranu IPsec tunelu mezi branami.
V transportním režimu je užitečná zátěž paketu zapouzdřena implementací transportního režimu IPsec; záhlaví IP však zůstává nezměněno. Nový paket IP obsahuje zpracované paketové užitečné zatížení a starou hlavičku IP, jakmile je paket zpracován pomocí protokolu IPsec. Transportní režim nemá schopnost chránit informace přenášené v hlavičce IP, což útočníkovi umožňuje identifikovat zdroj a cíl paketu.
V tunelovém režimu implementace IPsec zapouzdří celý paket IP. Celý paket se změní na užitečné zatížení paketu, které je zpracováno pomocí protokolu IPsec. Nově vytvořená hlavička IP obsahuje dvě adresy IPsec brány. Použití režimu tunelu zabrání útočníkovi v prohlížení informací a jejich dekódování a také skryje zdroj a cíl paketu.
