Conociendo el concepto básico de Security Association para IPSec utilizado en las VPN

56 0 0 0

Bienvenidos amigos del foro. Continuamos con las publicaciones sobre la tecnología VPN y en esta ocasión explicaremos los conceptos básicos sobre IPSec. IPSec se conforma por siete conceptos básicos que estaremos revisando para profundizar en sus características.


Conceptos Básicos de IPSec

Es necesario establecer una asociación de seguridad o security association (SA) entre los pares de IPSec (dos puntos finales de IPSec) antes de que IPSec pueda implementar una transmisión de datos segura. Una SA define un conjunto de parámetros para la transmisión de datos entre dos pares de IPSec, incluido el protocolo de seguridad, las características de los flujos de datos a proteger, el modo de encapsulación de datos, el algoritmo de cifrado, el algoritmo de autenticación, el intercambio de claves, IKE y la vida útil de SA.


Security Association

Una SA se identifica mediante tres parámetros: índice de parámetros de seguridad o security parameter index (SPI), dirección IP de destino e ID de protocolo de seguridad (AH o ESP). El SPI es un valor de 32 bits generado para identificar de forma exclusiva un SA y se transmite en un encabezado de AH o ESP. El SPI debe especificarse cuando una SA se configura manualmente. Cuando se genera un SA durante la negociación de IKE, se genera un SPI al azar.


Debido a que las SA son unidireccionales, se requieren al menos dos SA para proteger los flujos de datos entrantes y salientes. En la Figura 1, se deben establecer dos SA si es necesario establecer un túnel IPSec entre los pares A y B de IPSec. SA1 define el modo de protección para los datos enviados desde el punto A al punto B, y SA2 define el modo de protección para los datos enviados desde De par B a par A.


Figura 1. SA IPSec

161713gzz9ckfafjcvc6ad.png?image.png



La cantidad de SA necesarias también depende del protocolo de seguridad utilizado. Si usa AH o ESP para proteger el tráfico entre dos pares, se requieren dos SA para proteger los flujos entrantes y salientes. Si usa AH y ESP para proteger el tráfico entre dos pares, se requieren cuatro SA, dos para cada protocolo.


Se establece una SA IPSec en modo manual o de negociación automática IKE. Los dos modos difieren en lo siguiente:


Modo de generación de claves o Key generation mode

En el modo manual, todos los parámetros utilizados para establecer una SA, incluida la clave de cifrado y la clave de autenticación, deben configurarse y actualizarse manualmente, lo que genera altos costos de administración de claves en redes grandes y medianas. En el modo de negociación automática IKE, la clave de cifrado y la clave de autenticación se generan utilizando el algoritmo DH y pueden actualizarse dinámicamente, reduciendo los costos de administración de claves y mejorando la seguridad.


SA lifetime

Una SA establecida manualmente existe permanentemente. El tiempo que puede existir una SA establecida en el modo de negociación automática IKE depende de los parámetros de vida configurados en los dos pares.


En función de las diferencias, el modo manual se aplica a redes pequeñas con una pequeña cantidad de pares IPSec, donde el modo de negociación automática IKE se recomienda en redes grandes y medianas.


Este primer concepto nos muestra lo amplio que es la teoría sobre IPSec y cuáles son los primeros pasos para establecer una comunicación segura. De momento nos detendremos en la explicación y esperen las próximas publicaciones.


FIN



Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje