SA jest w istocie zbiorem kluczy kryptograficznych

Tryb tunelowy jest używany podczas komunikacji między bramkami bezpieczeństwa albo między bramką bezpieczeństwa a hostem i umożliwia zbudowanie wirtualnej sieci prywatnej opartej na IPsec.

Protokoły AH i ESP mogą zawierać 32bitową wartość, nazywaną Security Parameter Index (SPI). Jest to identyfikator służący do odróżniania różnych konwersacji zmierzających do tego samego miejsca przeznaczenia. Każda implementacja IPsec musi być zdolna do niezależnego śledzenia parametrów bezpieczeństwa kombinacji SPI, docelowego adresu IP oraz używanego protokołu bezpieczeństwa (albo AH, albo ESP). Ta kombinacja parametrów nosi nazwę Security Association (SA). Wynegocjowanie i ustawienie parametrów kryptograficznych (w tym SPI) każdej kombinacji SA to zadanie konkretnego protokołu zarządzania kluczami ISAKMP.

SA jest w istocie zbiorem kluczy kryptograficznych oraz parametrów używanych przez AH lub ESP: AHKlucze kryptograficzne oraz identyfikatory algorytmów używanych do ochrony integralności, a także parametry przeciwodtworzeniowe.

Prawdopodobnie zauważyłeś, że w tabeli tej nie podajemy informacji o ustawieniu bitu ACK. W UDP nie mma odpowiednika bitu ACK z TCP. Kiedy pakiety TCP zostaną osadzone w pakietach AH, ich znaczniki będą nadal obecne firewall rozumiejący AH mógłby teoretycznie użyć znaczników do ustalenia kierunku połączeń TCP i filtrować pakiety na tej podstawie. Podobnie pakiety TCP i UDP w AH będą zawierały pierwotne porty źródłowe i docelowe, które można wykorzystać do filtrowania.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>