Sicherheitsverband (sa)

Definition - Was bedeutet Security Association (SA)?

Eine Sicherheitszuordnung (SA) ist eine logische Verbindung zwischen zwei Geräten, die Daten übertragen. Mit Hilfe der definierten IPSec-Protokolle bieten SAs Datenschutz für unidirektionalen Verkehr. Im Allgemeinen verfügt ein IPSec-Tunnel über zwei unidirektionale SAs, die einen sicheren Vollduplexkanal für Daten bieten.

Eine Sicherheitszuordnung besteht aus Funktionen wie dem Verkehrsverschlüsselungsschlüssel, dem kryptografischen Algorithmus und dem Modus sowie den für die Netzwerkdaten erforderlichen Parametern.

Technische.me erklärt Security Association (SA)

Das Internet Security Association- und Schlüsselverwaltungsprotokoll (ISAKMP) bietet den Rahmen für die Einrichtung von Sicherheitszuordnungen, während das authentifizierte Schlüsselmaterial von Protokollen wie Internet Key Exchange (IKE) und Kerberized Internet Negotiation of Keys (KINK) angeboten wird.

Mit SAs können Unternehmen gezielt verwalten, welche Ressourcen gemäß der Sicherheitsrichtlinie sicher kommunizieren können. Um dies auszuführen, können Unternehmen mehrere SAs zusammenstellen, um verschiedene sichere VPNs zu ermöglichen. Außerdem können sie die SAs innerhalb des VPN definieren, um viele verschiedene Einheiten sowie Geschäftspartner zu unterstützen.

Sicherheitszuordnungen verwenden Modi für ihren Betrieb. Ein Modus ist ein Verfahren, bei dem das IPSec-Protokoll auf das Paket angewendet wird. IPsec wird im Transport- oder Tunnelmodus verwendet. Im Allgemeinen wird der Transportmodus zum Schutz des IPSec-Tunnels von Host zu Host verwendet, während der Tunnelmodus zum Schutz des IPSec-Tunnels von Gateway zu Gateway implementiert wird.

Im Transportmodus wird die Nutzlast des Pakets durch die IPSec-Implementierung im Transportmodus gekapselt. Der IP-Header bleibt jedoch unverändert. Das neue IP-Paket enthält die Nutzdaten des verarbeiteten Pakets sowie den alten IP-Header, sobald das Paket mit IPsec verarbeitet wurde. Der Transportmodus kann die im IP-Header enthaltenen Informationen nicht abschirmen, sodass ein Angreifer die Quelle und das Ziel des Pakets identifizieren kann.

Im Tunnelmodus kapselt die IPSec-Implementierung das gesamte IP-Paket. Das gesamte Paket wird zur Nutzlast des Pakets, die mit IPsec verarbeitet wird. Der neu erstellte IP-Header enthält zwei IPSec-Gateway-Adressen. Die Verwendung des Tunnelmodus verhindert, dass ein Angreifer die Informationen überprüft und dekodiert, und verbirgt außerdem die Quelle und das Ziel des Pakets.