Inhaltsverzeichnis:
Definition - Was bedeutet Security Association (SA)?
Eine Sicherheitszuordnung (SA) ist eine logische Verbindung, an der zwei Geräte beteiligt sind, die Daten übertragen. Mithilfe der definierten IPSec-Protokolle bieten SAs Datenschutz für unidirektionalen Datenverkehr. Im Allgemeinen verfügt ein IPSec-Tunnel über zwei unidirektionale SAs, die einen sicheren Vollduplexkanal für Daten bieten.
Eine Sicherheitszuordnung besteht aus Funktionen wie dem Verschlüsselungsschlüssel für den Datenverkehr, dem Verschlüsselungsalgorithmus und -modus sowie den für die Netzwerkdaten erforderlichen Parametern.
Techopedia erklärt Security Association (SA)
Die Internet Security Association und das Schlüsselverwaltungsprotokoll (ISAKMP) bilden das Framework für die Einrichtung von Sicherheitszuordnungen, während das authentifizierte Schlüsselmaterial durch Protokolle wie Internet Key Exchange (IKE) und Kerberized Internet Negotiation of Keys (KINK) bereitgestellt wird.
Mit SAs können Unternehmen gezielt verwalten, welche Ressourcen gemäß der Sicherheitsrichtlinie sicher kommunizieren können. Zu diesem Zweck können Unternehmen mehrere Sicherheitszuordnungen zusammenstellen, um verschiedene sichere VPNs zu ermöglichen. Außerdem können sie die Sicherheitszuordnungen innerhalb des VPNs definieren, um viele verschiedene Einheiten sowie Geschäftspartner zu unterstützen.
Sicherheitszuordnungen verwenden Modi für ihren Betrieb. Ein Modus ist eine Methode, bei der das IPSec-Protokoll auf das Paket angewendet wird. IPsec wird im Transport- oder Tunnelmodus verwendet. Im Allgemeinen wird der Transportmodus zum Schutz des Host-zu-Host-IPsec-Tunnels verwendet, während der Tunnelmodus zum Schutz des Gateway-zu-Gateway-IPsec-Tunnels implementiert wird.
Im Transportmodus wird die Nutzlast des Pakets von der IPsec-Implementierung im Transportmodus eingekapselt. Der IP-Header bleibt jedoch unverändert. Das neue IP-Paket enthält die verarbeitete Paketnutzlast sowie den alten IP-Header, sobald das Paket mit IPsec verarbeitet wurde. Der Transportmodus kann die im IP-Header enthaltenen Informationen nicht abschirmen, sodass ein Angreifer die Quelle und das Ziel des Pakets identifizieren kann.
Im Tunnelmodus kapselt die IPsec-Implementierung das gesamte IP-Paket. Das gesamte Paket wird zur Nutzlast des Pakets, die mit IPsec verarbeitet wird. Der neu erstellte IP-Header enthält zwei IPSec-Gateway-Adressen. Die Verwendung des Tunnelmodus verhindert, dass ein Angreifer die Informationen überprüft und dekodiert, und verbirgt auch die Quelle und das Ziel des Pakets.
