diferencia entre IPSEC SA y CHILD SA

4

Consideremos dos entidades de red.

            Linux1 (eth0)=============IPSEC=============Linux2(eth0)
            192.168.1.1                                192.168.1.2 

El túnel IPSEC es V4 sobre V4. Cuando configuro este túnel a través de IKE Strongswan, cuando hago "ipsec statusall" , muestra una conexión entre los IP internos.

En esta configuración 1) Estoy pensando que solo hay 1 túnel. Estoy confundido sobre qué es IPSEC SA y CHILD SA. . Estoy pensando que los paquetes de Linux1 a Linux2 estarán encapsulados (co si se elige) de Linux1 a Linux2 y que los paquetes deben pasar por el túnel IPSEC. 2) Supongamos que hay ESP , ¿cuál es la diferencia entre rekeying y ikelifetime Gracias

    
pregunta kishore . 15.04.2015 - 17:31
fuente

1 respuesta

3

Probablemente debería ser movido a la pila de intercambio de seguridad, pero no porque sea específico para un producto de seguridad en particular, sino que es específico para un protocolo de seguridad específico.

Sin embargo, intentaré abordar las preguntas de todos modos.

Antes de comenzar, necesito explicar cómo IKE e IPSec trabajan juntos. No es como TLS (donde hay un conjunto de claves lógicas que protegen todo); en su lugar (utilizando el idioma de los RFC), tiene 3 asociaciones de seguridad dentro de este túnel:

  • Tiene una IKE SA, que se utiliza para proteger el tráfico de negociación entre Linux1 y Linux2 (como las SA de tráfico de negociación).
  • Tiene una SA de IPSec que se utiliza para proteger el tráfico de datos de Linux1 a Linux2
  • Tiene una SA de IPSec que se utiliza para proteger el tráfico de datos de Linux2 a Linux1

Ahora, para tus preguntas:

  

¿Qué es un CHILD SA?

A Child SA es cualquier SA que se negoció a través de IKE SA. Se puede utilizar una SA de IKE para negociar cualquiera de las SA para proteger el tráfico (SA de IPSec), o se puede utilizar para crear otra SA de IKE. En el contexto en el que lo estás viendo, es muy probable que sea un sinónimo de las SA de IPSec.

  

¿Cuál es la diferencia entre ikelifetime y ipseclifetime

No SA es eterna; todos tienen una fecha de caducidad; y cuando eso expira, desaparecen (y es de esperar que las SA de reemplazo también se negocien, a menos que realmente haya terminado con el túnel). ikelifetime sería la vida útil de IKE SA; ipseclifetime sería la vida útil de las SA de IPSec.

    
respondido por el poncho 15.04.2015 - 19:40
fuente

Lea otras preguntas en las etiquetas