Definición: ¿Qué significa Asociación de seguridad (SA)?
Una asociación de seguridad (SA) es una conexión lógica que involucra dos dispositivos que transfieren datos. Con la ayuda de los protocolos IPsec definidos, las SA ofrecen protección de datos para el tráfico unidireccional. Generalmente, un túnel IPsec presenta dos SA unidireccionales, que ofrecen un canal de datos dúplex completo y seguro.
Una asociación de seguridad consta de características como la clave de cifrado de tráfico, el modo y el algoritmo criptográfico, y también los parámetros necesarios para los datos de la red.
Techinfo explica la Asociación de Seguridad (SA)
El Protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP) proporciona el marco para establecer SA, mientras que el material de claves autenticado lo ofrecen protocolos como Intercambio de claves de Internet (IKE) y Negociación de claves de Internet Kerberizada (KINK).
Con las SA, las empresas pueden administrar específicamente qué recursos pueden comunicarse de forma segura según la política de seguridad. Para ejecutar esto, las empresas pueden juntar varias SA para facilitar varias VPN seguras, además de definir las SA dentro de la VPN para soportar muchas unidades diferentes, así como socios comerciales.
Las asociaciones de seguridad utilizan modos para su funcionamiento. Un modo es un método en el que se aplica el protocolo IPsec al paquete. IPsec se utiliza en modo de transporte o túnel. En general, el modo de transporte se emplea para proteger el túnel IPsec de host a host, mientras que el modo de túnel se implementa para proteger el túnel IPsec de puerta de enlace a puerta de enlace.
En el modo de transporte, la carga útil del paquete está encapsulada por la implementación de IPsec en modo de transporte; sin embargo, el encabezado IP permanece sin cambios. El nuevo paquete IP incluye la carga útil del paquete procesado, así como el encabezado IP anterior una vez que el paquete se procesa con IPsec. El modo de transporte no tiene la capacidad de proteger la información contenida en el encabezado IP, lo que permite a un atacante identificar la fuente y el destino del paquete.
En el modo de túnel, la implementación de IPsec encapsula todo el paquete IP. Todo el paquete se convierte en la carga útil del paquete que se procesa mediante IPsec. El encabezado IP recién creado contiene dos direcciones de puerta de enlace IPsec. El uso del modo túnel evita que un atacante inspeccione la información y la decodifique, y también oculta el origen y el destino del paquete.