Una SA (Security Association) se identifica mediante tres parámetros: índice de parámetros de seguridad (SPI), dirección IP de destino e ID de protocolo de seguridad (AH o ESP). El SPI es un valor de 32 bits generado para identificar de forma única un SA, y se transmite en un encabezado AH o ESP. El SPI debe especificarse cuando un SA se configura manualmente. Cuando se genera un SA durante la negociación de IKE, se genera aleatoriamente un SPI.
Debido a que las SA son unidireccionales, se requieren al menos dos SA para proteger los flujos de datos entrantes y salientes. En la siguiente figura, se deben establecer dos SA si se debe establecer un túnel IPSec entre los interlocutores IPSec A y B. SA1 define el modo de protección para los datos enviados de Peer A a Peer B, y SA2 define el modo de protección para los datos enviados desde Peer B to Peer A.
Asociación de seguridad en IPSec
La cantidad de SA que se requieren también depende del protocolo de seguridad utilizado. Si usa AH o ESP para proteger el tráfico entre dos pares, se requieren dos SA para proteger los flujos entrantes y salientes. Si utiliza tanto AH como ESP para proteger el tráfico entre dos pares, se requieren cuatro SA, dos para cada protocolo.
Se establece una SA de IPSec en modo manual o de autonegociación IKE. Los dos modos difieren en lo siguiente:
l Modo de generación de claves
En el modo manual, todos los parámetros utilizados para establecer un SA, incluida la clave de cifrado y la clave de autenticación, deben configurarse y actualizarse manualmente, lo que conlleva altos costos de administración de claves en redes grandes y medianas. En el modo de negociación automática de IKE, la clave de encriptación y la clave de autenticación se generan mediante el algoritmo DH y se pueden actualizar dinámicamente, reduciendo los costos de administración de claves y mejorando la seguridad.
l Vida de SA
Una SA establecida manualmente existe permanentemente. El tiempo que puede existir un SA establecido en el modo de autonegociación IKE depende de los parámetros de vida útil configurados en dos pares.
Según las diferencias, el modo manual se aplica a redes pequeñas con un número pequeño de interlocutores IPSec, donde se recomienda el modo de negociación automática IKE en redes grandes y medianas.