Inhoudsopgave:
Definitie - Wat betekent Security Association (SA)?
Een beveiligingsassociatie (SA) is een logische verbinding tussen twee apparaten die gegevens overdragen. Met behulp van de gedefinieerde IPsec-protocollen bieden SA's gegevensbescherming voor unidirectioneel verkeer. Over het algemeen beschikt een IPsec-tunnel over twee unidirectionele SA's, die een veilig, full-duplex kanaal voor gegevens bieden.
Een beveiligingskoppeling bestaat uit functies zoals verkeersversleutelingssleutel, cryptografisch algoritme en modus, en ook parameters die nodig zijn voor de netwerkgegevens.
Techopedia verklaart Security Association (SA)
De ISAKMP (Internet Security Association and Key Management Protocol) biedt het raamwerk voor het opzetten van SA's, terwijl het geverifieerde sleutelmateriaal wordt aangeboden door protocollen zoals Internet Key Exchange (IKE) en Kerberized Internet Negotiation of Keys (KINK).
Met SA's kunnen bedrijven specifiek beheren welke bronnen veilig kunnen communiceren volgens het beveiligingsbeleid. Om dit uit te voeren, kunnen bedrijven verschillende SA's samenstellen om verschillende veilige VPN's mogelijk te maken, naast het definiëren van de SA's in de VPN voor het ondersteunen van veel verschillende eenheden en zakelijke partners.
Beveiligingsverenigingen gebruiken modi voor hun werking. Een modus is een methode waarbij het IPsec-protocol op het pakket wordt toegepast. IPsec wordt gebruikt in transport- of tunnelmodus. Over het algemeen wordt de transportmodus gebruikt om de IPsec-tunnel van host naar host te beschermen, terwijl de tunnelmodus wordt geïmplementeerd om de IPsec-tunnel van gateway naar gateway te beschermen.
In transportmodus wordt de nuttige lading van het pakket ingekapseld door de IPsec-implementatie in transportmodus; de IP-header blijft echter ongewijzigd. Het nieuwe IP-pakket bevat de verwerkte pakket-payload en de oude IP-header zodra het pakket is verwerkt met IPsec. De transportmodus heeft niet de mogelijkheid om de informatie in de IP-header af te schermen, waardoor een aanvaller de bron en de bestemming van het pakket kan identificeren.
In de tunnelmodus omvat de IPsec-implementatie het hele IP-pakket. Het hele pakket verandert in de nuttige lading van het pakket die wordt verwerkt met behulp van IPsec. De nieuw gemaakte IP-header bevat twee IPsec gateway-adressen. Het gebruik van de tunnelmodus voorkomt dat een aanvaller de informatie inspecteert en decodeert, en het verbergt ook de bron en de bestemming van het pakket.