Definição – O que significa Security Association (SA)?
Uma associação de segurança (SA) é uma conexão lógica envolvendo dois dispositivos que transferem dados. Com a ajuda dos protocolos IPsec definidos, os SAs oferecem proteção de dados para tráfego unidirecional. Geralmente, um túnel IPsec possui dois SAs unidirecionais, que oferecem um canal full-duplex seguro para dados.
Uma associação de segurança consiste em recursos como chave de criptografia de tráfego, modo e algoritmo criptográfico e também parâmetros necessários para os dados de rede.
Definirtec explica Security Association (SA)
A Associação de Segurança da Internet e o Protocolo de Gerenciamento de Chaves (ISAKMP) fornecem a estrutura para estabelecer SAs, enquanto o material de chave autenticado é oferecido por protocolos como Internet Key Exchange (IKE) e Kerberized Internet Negotiation of Keys (KINK).
Com SAs, as empresas podem gerenciar especificamente quais recursos podem se comunicar com segurança de acordo com a política de segurança. Para executar isso, as empresas podem reunir vários SAs para facilitar várias VPNs seguras, além de definir os SAs dentro da VPN para suportar muitas unidades diferentes, bem como parceiros de negócios.
As associações de segurança usam modos para sua operação. Um modo é um método em que o protocolo IPsec é aplicado ao pacote. O IPsec é usado no modo de transporte ou túnel. Em geral, o modo de transporte é empregado para proteger o túnel IPsec host-a-host, enquanto o modo de túnel é implementado para proteger o túnel IPsec gateway-a-gateway.
No modo de transporte, a carga útil do pacote é encapsulada pela implementação IPsec no modo de transporte; no entanto, o cabeçalho IP permanece inalterado. O novo pacote IP inclui a carga útil do pacote processado, bem como o cabeçalho IP antigo, uma vez que o pacote é processado com IPsec. O modo de transporte não tem a capacidade de proteger as informações transportadas no cabeçalho IP, o que permite que um invasor identifique a origem e o destino do pacote.
No modo túnel, a implementação IPsec encapsula todo o pacote IP. O pacote inteiro se transforma em carga útil do pacote que é processado usando IPsec. O cabeçalho IP recém-criado contém dois endereços de gateway IPsec. O uso do modo túnel evita que um invasor inspecione as informações e as decodifique, e também oculta a origem e o destino do pacote.