Una SA de asociación de seguridad de IPsec define las propiedades de seguridad que se aplicarán a un paquete IP que coincide con los parámetros IP que también se almacenan en la SA. Cada SA es unidireccional. Porque la mayoría de las comunicaciones son bidireccionales, se requieren dos SA para una conexión única.
En conjunto, los tres elementos siguientes identifican de manera exclusiva una SA de IPsec:
El protocolo de seguridad (AH o ESP)
La dirección IP de destino
El SPI de la SA proporciona protección adicional y se transmite en el encabezado de ESP o AH de un paquete protegido por IPsec. Las páginas del comando man ipsecah(7P) y ipsecesp(7P) explican el alcance de la protección proporcionada por AH y ESP. Se utiliza un valor de suma de comprobación de integridad para autenticar un paquete. Si la autenticación falla, se deja el paquete.
Las asociaciones de seguridad se almacenan en una base de datos de asociaciones de seguridad (SADB). PF_KEY, una interfaz administrativa basada en sockets, permite que las aplicaciones privilegiadas gestionen la base de datos de forma programada. Por ejemplo, el daemon IKE y el comando ipseckey usan la interfaz de socket PF_KEY.
Para obtener una descripción completa de SADB IPsec, consulte Base de datos de asociaciones de seguridad para IPsec.
Para obtener más información acerca de cómo gestionar la SADB, consulte las páginas del comando man pf_key(7P) y ipseckey(1M).