Définition - Que signifie Security Association (SA)?
Une association de sécurité (SA) est une connexion logique impliquant deux périphériques qui transfèrent des données. À l'aide des protocoles IPsec définis, les SA offrent une protection des données pour le trafic unidirectionnel. En général, un tunnel IPsec comprend deux SA unidirectionnelles, qui offrent un canal sécurisé en duplex intégral pour les données.
Une association de sécurité se compose de fonctionnalités telles que la clé de cryptage du trafic, l'algorithme et le mode cryptographiques, ainsi que les paramètres requis pour les données du réseau.
Definir Tech explique Security Association (SA)
Le protocole ISAKMP (Internet Security Association and Key Management Protocol) fournit le cadre pour l'établissement des SA, tandis que le matériel de clé authentifié est offert par des protocoles tels que Internet Key Exchange (IKE) et Kerberized Internet Negotiation of Keys (KINK).
Avec les SA, les entreprises peuvent gérer spécifiquement quelles ressources peuvent communiquer en toute sécurité conformément à la politique de sécurité. Pour ce faire, les entreprises peuvent mettre en place plusieurs SA pour faciliter divers VPN sécurisés en plus de définir les SA à l'intérieur du VPN pour prendre en charge de nombreuses unités différentes ainsi que des partenaires commerciaux.
Les associations de sécurité utilisent des modes pour leur fonctionnement. Un mode est une méthode dans laquelle le protocole IPsec est appliqué au paquet. IPsec est utilisé en mode transport ou tunnel. En général, le mode de transport est utilisé pour protéger le tunnel IPsec d'hôte à hôte, tandis que le mode de tunnel est mis en œuvre pour protéger le tunnel IPsec de passerelle à passerelle.
En mode transport, la charge utile du paquet est encapsulée par l'implémentation IPsec en mode transport; cependant, l'en-tête IP reste inchangé. Le nouveau paquet IP inclut la charge utile du paquet traité ainsi que l'ancien en-tête IP une fois que le paquet est traité avec IPsec. Le mode de transport n'a pas la capacité de protéger les informations transportées dans l'en-tête IP, ce qui permet à un attaquant d'identifier la source et la destination du paquet.
En mode tunnel, l'implémentation IPsec encapsule tout le paquet IP. L'ensemble du paquet se transforme en charge utile du paquet qui est traitée à l'aide d'IPsec. L'en-tête IP nouvellement créé contient deux adresses de passerelle IPsec. L'utilisation du mode tunnel empêche un attaquant d'inspecter les informations et de les décoder, et il masque également la source et la destination du paquet.