目次:
定義-セキュリティアソシエーション(SA)とはどういう意味ですか?
セキュリティアソシエーション(SA)は、データを転送する2つのデバイスを含む論理接続です。 定義されたIPsecプロトコルの助けを借りて、SAは単方向トラフィックのデータ保護を提供します。 一般に、IPsecトンネルは、データ用の安全な全二重チャネルを提供する2つの単方向SAを備えています。
セキュリティアソシエーションは、トラフィック暗号化キー、暗号化アルゴリズムとモード、およびネットワークデータに必要なパラメーターなどの機能で構成されます。
TechopediaはSecurity Association(SA)について説明します
インターネットセキュリティアソシエーションおよびキー管理プロトコル(ISAKMP)はSAを確立するためのフレームワークを提供しますが、認証されたキー情報はインターネットキーエクスチェンジ(IKE)やKerberosのインターネットネゴシエーション(KINK)などのプロトコルによって提供されます。
SAを使用すると、企業はセキュリティポリシーに従って、どのリソースが安全に通信できるかを具体的に管理できます。 これを実行するために、企業は複数のSAをまとめて、さまざまなユニットやビジネスパートナーをサポートするVPN内のSAを定義するだけでなく、さまざまな安全なVPNを促進できます。
セキュリティアソシエーションは、操作にモードを使用します。 モードは、IPsecプロトコルがパケットに適用される方法です。 IPsecは、トランスポートモードまたはトンネルモードで使用されます。 一般に、トランスポートモードはホストからホストへのIPsecトンネルを保護するために使用されますが、トンネルモードはゲートウェイからゲートウェイへのIPsecトンネルを保護するために実装されます。
トランスポートモードでは、パケットのペイロードはトランスポートモードIPsec実装によってカプセル化されます。 ただし、IPヘッダーは変更されません。 新しいIPパケットには、パケットがIPsecで処理されると、処理されたパケットペイロードと古いIPヘッダーが含まれます。 トランスポートモードには、IPヘッダーで伝送される情報を保護する機能がありません。これにより、攻撃者はパケットの送信元と宛先を識別できます。
トンネルモードでは、IPsec実装はIPパケット全体をカプセル化します。 パケット全体が、IPsecを使用して処理されるパケットのペイロードに変わります。 新しく作成されたIPヘッダーには、2つのIPsecゲートウェイアドレスが含まれています。 トンネルモードを使用すると、攻撃者が情報を検査して解読するのを防ぎ、パケットの送信元と宛先を隠します。
