web-dev-qa-db-ja.com

IPSEC SAとCHILD SA

2つのネットワークエンティティについて考えてみましょう。

            Linux1 (eth0)=============IPSEC=============Linux2(eth0)
            192.168.1.1                                192.168.1.2 

IPSECトンネルはV4 over V4です。 IKE Strongswanを介してこのトンネルを設定した場合、"ipsec statusall"を実行すると、内部IP間の接続が表示されます。

このセットアップでは1)トンネルは1つだけだと思います。 IPSEC SACHILD SA.が何なのか混乱しています。Linux1からLinux2へのパケットはESPカプセル化され(選択されている場合)、パケットはパケットを通過するはずです。 IPSECトンネル。 2)rekeyingがあるとします。ikelifetimeipseclifetimeの違いは何ですか。

6
kishore .

これは、おそらくセキュリティstackexchangeに移動する必要がありますが、特定のセキュリティ製品に固有のものではなく、特定のセキュリティプロトコルに固有のものです。

しかし、私はとにかく質問に対処しようとします。

始める前に、IKEとIPSecがどのように連携するかを説明する必要があります。これはTLSとは異なります(すべてを保護する論理キーのセットが1つあります)。代わりに(RFCの言語を使用して)、この1つのトンネル内に3つのセキュリティアソシエーションがあります。

  • Linux1とLinux2間のネゴシエーショントラフィック(トラフィックSAのネゴシエーションなど)を保護するために使用されるIKE SAがあります。
  • Linux1からLinux2へのデータトラフィックを保護するために使用されるIPSec SAがあります。
  • Linux2からLinux1へのデータトラフィックを保護するために使用されるIPSec SAがあります。

さて、あなたの質問のために:

CHILD SAとは何ですか?

子SAは、IKE SAを介してネゴシエートされた任意のSAです。IKESAは、トラフィックを保護するためのSA(IPSec SA)、または別のIKE SAを作成するために使用できます。表示されているコンテキストでは、それはIPSec SAの同義語である可能性が高いです。

Ikelifetimeとipseclifetimeの違いは何ですか

いいえSAは永遠です;それらはすべて賞味期限があります;そしてそれが期限切れになると、彼らは消えます(そしてうまくいけば、実際にトンネルを終えない限り、交換SAも交渉されます) 。ikelifetimeはIKE SAのライフタイムであり、ipseclifetimeはIPSec SAのライフタイムです。

5
poncho