Obsah:
Definícia - Čo znamená združenie bezpečnosti (SA)?
Asociácia zabezpečenia (SA) je logické spojenie zahŕňajúce dve zariadenia, ktoré prenášajú údaje. S pomocou definovaných protokolov IPsec ponúkajú SA ochranu údajov pre jednosmerný prenos. Tunel IPsec má spravidla dve jednosmerné SA, ktoré ponúkajú bezpečný, plne duplexný kanál pre dáta.
Priradenie zabezpečenia pozostáva z funkcií, ako je šifrovací kľúč prenosu, kryptografický algoritmus a režim, a tiež z parametrov požadovaných pre sieťové údaje.
Techopedia vysvetľuje Security Association (SA)
Protokol ISAKMP (Internet Security Association a Protocol Management Protocol) poskytuje rámec na zriaďovanie SA, zatiaľ čo autentizovaný kľúčovací materiál sa ponúka v protokoloch ako Internet Key Exchange (IKE) a Kerberized Internet Negotiation Keys (KINK).
S SA môžu podniky špecificky riadiť, ktoré zdroje môžu bezpečne komunikovať podľa bezpečnostnej politiky. Na dosiahnutie tohto cieľa môžu podniky zostaviť niekoľko SA, aby uľahčili rôzne zabezpečené VPN okrem definovania SA vo vnútri VPN na podporu mnohých rôznych jednotiek, ako aj obchodných partnerov.
Bezpečnostné združenia používajú na svoju činnosť režimy. Režim je metóda, pri ktorej sa na paket aplikuje protokol IPsec. IPsec sa používa v režime dopravy alebo tunela. Všeobecne sa režim dopravy používa na ochranu tunela IPsec medzi hostiteľom, zatiaľ čo režim tunela je implementovaný na ochranu tunela IPsec medzi bránami.
V transportnom režime je užitočné zaťaženie paketu zapuzdrené implementáciou IPsec transportného režimu; hlavička IP však zostáva nezmenená. Nový paket IP obsahuje spracované paketové užitočné zaťaženie, ako aj starú hlavičku IP po spracovaní paketu pomocou protokolu IPsec. Transportný režim nemá schopnosť tieniť informácie prenášané v hlavičke IP, čo umožňuje útočníkovi identifikovať zdroj a cieľ paketu.
V tunelovom režime implementácia IPsec zapuzdruje celý paket IP. Celý paket sa zmení na užitočné zaťaženie paketu, ktoré je spracované pomocou protokolu IPsec. Novovytvorená hlavička IP obsahuje dve adresy IPsec. Použitie tunelového režimu bráni útočníkovi v prehliadaní a dekódovaní informácií a tiež skryje zdroj a cieľ paketu.
