El Protocolo de administración de claves y asociación de seguridad de Internet ( ISAKMP ) es un protocolo definido por RFC 2408 para establecer asociaciones de seguridad (SA) y claves criptográficas en un entorno de Internet. ISAKMP solo proporciona un marco para la autenticación y el intercambio de claves y está diseñado para ser independiente del intercambio de claves; Los protocolos como Intercambio de claves de Internet (IKE) y Negociación de claves de Internet kerberizada (KINK) proporcionan material de claves autenticado para su uso con ISAKMP. Por ejemplo: IKE describe un protocolo que usa parte de Oakley y parte de SKEME junto con ISAKMP para obtener material de claves autenticado para usar con ISAKMP y para otras asociaciones de seguridad como AH y ESP para IETF IPsec DOI [1]
Descripción general
ISAKMP define los procedimientos para la autenticación de un par que se comunica, la creación y gestión de asociaciones de seguridad , las técnicas de generación de claves y la mitigación de amenazas (por ejemplo, denegación de servicio y ataques de repetición). Como marco, [1] ISAKMP normalmente utiliza IKE para el intercambio de claves, aunque se han implementado otros métodos como la Negociación Kerberizada de Claves en Internet . Se forma una SA preliminar utilizando este protocolo; más tarde se realiza una nueva codificación.
ISAKMP define procedimientos y formatos de paquetes para establecer, negociar, modificar y eliminar asociaciones de seguridad. Las SA contienen toda la información necesaria para la ejecución de varios servicios de seguridad de red, como los servicios de capa IP (como autenticación de encabezado y encapsulación de carga útil), servicios de capa de transporte o aplicación o autoprotección del tráfico de negociación. ISAKMP define cargas útiles para intercambiar datos de autenticación y generación de claves. Estos formatos proporcionan un marco coherente para transferir datos de autenticación y claves que es independiente de la técnica de generación de claves, el algoritmo de cifrado y el mecanismo de autenticación.
ISAKMP se diferencia de los protocolos de intercambio de claves para separar claramente los detalles de la gestión de asociaciones de seguridad (y la gestión de claves) de los detalles del intercambio de claves. Puede haber muchos protocolos de intercambio de claves diferentes, cada uno con diferentes propiedades de seguridad. Sin embargo, se requiere un marco común para acordar el formato de los atributos de SA y para negociar, modificar y eliminar SA. ISAKMP sirve como este marco común.
ISAKMP se puede implementar sobre cualquier protocolo de transporte. Todas las implementaciones deben incluir capacidad de envío y recepción para ISAKMP usando UDP en el puerto 500.
Implementación
OpenBSD implementó ISAKMP por primera vez en 1998 a través de su software isakmpd (8) .
El servicio de servicios IPsec en Microsoft Windows maneja esta funcionalidad.
El proyecto KAME implementa ISAKMP para Linux y la mayoría de los demás BSD de código abierto .
Los enrutadores Cisco modernos implementan ISAKMP para la negociación de VPN.
Vulnerabilidades
Las presentaciones filtradas de la NSA publicadas por Der Spiegel ' indican que ISAKMP está siendo explotado de una manera desconocida para descifrar el tráfico IPSec, al igual que IKE . [2] Los investigadores que descubrieron el ataque Logjam afirman que romper un grupo Diffie-Hellman de 1024 bits rompería el 66% de los servidores VPN, el 18% del millón de dominios HTTPS superiores y el 26% de los servidores SSH, lo que es consistente con la fugas según los investigadores. [3]
Ver también
Referencias
- ^ a b El intercambio de claves de Internet (IKE), RFC 2409, §1 Resumen
- ^ Capacidad de campo: revisión de diseño VPN SPIN9 de extremo a extremo (PDF) , NSA a través de 'Der Spiegel', p. 5
- ^ Adrián, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia ; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (octubre de 2015). Secreto imperfecto hacia adelante: cómo falla Diffie-Hellman en la práctica (PDF) . 22ª Conferencia de la ACM sobre seguridad informática y de las comunicaciones (CCS '15). Denver . Consultado el 15 de junio de 2016 .
enlaces externos
- RFC 2408 - Protocolo de administración de claves y asociación de seguridad de Internet
- RFC 2407 - El dominio de interpretación de seguridad IP de Internet para ISAKMP