stringtranslate.com

Asociación de Seguridad de Internet y Protocolo de Gestión de Claves

El Protocolo de administración de claves y asociación de seguridad de Internet ( ISAKMP ) es un protocolo definido por la RFC 2408 para establecer asociaciones de seguridad (SA) y claves criptográficas en un entorno de Internet. ISAKMP solo proporciona un marco para la autenticación y el intercambio de claves y está diseñado para ser independiente del intercambio de claves; protocolos como Internet Key Exchange (IKE) y Kerberized Internet Negotiation of Keys (KINK) proporcionan material de claves autenticado para su uso con ISAKMP. Por ejemplo: IKE describe un protocolo que utiliza parte de Oakley y parte de SKEME junto con ISAKMP para obtener material de claves autenticado para su uso con ISAKMP y para otras asociaciones de seguridad como AH y ESP para el DOI IPsec de IETF. [1]

Descripción general

ISAKMP define los procedimientos para autenticar a un par que se comunica, la creación y gestión de asociaciones de seguridad , técnicas de generación de claves y mitigación de amenazas (por ejemplo, ataques de denegación de servicio y de repetición). Como marco, [1] ISAKMP normalmente utiliza IKE para el intercambio de claves, aunque se han implementado otros métodos como la negociación de claves de Internet kerberizada . Se forma una SA preliminar utilizando este protocolo; más tarde se realiza una nueva generación de claves.

ISAKMP define procedimientos y formatos de paquetes para establecer, negociar, modificar y eliminar asociaciones de seguridad. Las asociaciones de seguridad contienen toda la información necesaria para la ejecución de varios servicios de seguridad de red, como los servicios de la capa IP (como la autenticación de encabezados y la encapsulación de la carga útil), los servicios de la capa de transporte o de aplicación o la autoprotección del tráfico de negociación. ISAKMP define las cargas útiles para intercambiar datos de autenticación y generación de claves. Estos formatos proporcionan un marco coherente para transferir datos de autenticación y claves que es independiente de la técnica de generación de claves, el algoritmo de cifrado y el mecanismo de autenticación.

ISAKMP se diferencia de los protocolos de intercambio de claves para separar claramente los detalles de la gestión de asociaciones de seguridad (y la gestión de claves) de los detalles del intercambio de claves. Puede haber muchos protocolos de intercambio de claves diferentes, cada uno con diferentes propiedades de seguridad. Sin embargo, se requiere un marco común para acordar el formato de los atributos de las SA y para negociar, modificar y eliminar las SA. ISAKMP sirve como este marco común.

ISAKMP se puede implementar en cualquier protocolo de transporte. Todas las implementaciones deben incluir la capacidad de enviar y recibir ISAKMP mediante UDP en el puerto 500.

Implementación

OpenBSD implementó ISAKMP por primera vez en 1998 a través de su software isakmpd(8).

El servicio de servicios IPsec de Microsoft Windows gestiona esta funcionalidad.

El proyecto KAME implementa ISAKMP para Linux y la mayoría de los otros BSD de código abierto .

Los enrutadores Cisco modernos implementan ISAKMP para la negociación de VPN.

Vulnerabilidades

Las presentaciones filtradas de la NSA publicadas por Der Spiegel indican que ISAKMP está siendo explotado de una manera desconocida para descifrar el tráfico IPSec, al igual que IKE . [2] Los investigadores que descubrieron el ataque Logjam afirman que romper un grupo Diffie-Hellman de 1024 bits rompería el 66% de los servidores VPN, el 18% del millón de dominios HTTPS principales y el 26% de los servidores SSH, lo que es consistente con las filtraciones según los investigadores. [3]

Véase también

Referencias

  1. ^ ab "1. Resumen". El intercambio de claves de Internet (IKE). doi : 10.17487/RFC2409 . RFC 2409.
  2. ^ Capacidad de campo: Revisión del diseño de SPIN9 de VPN de extremo a extremo (PDF) , NSA a través de 'Der Spiegel', pág. 5
  3. ^ Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia ; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (octubre de 2015). Secreto de reenvío imperfecto: cómo Diffie-Hellman falla en la práctica (PDF) . 22.ª Conferencia de la ACM sobre seguridad informática y de las comunicaciones (CCS '15). Denver . Consultado el 15 de junio de 2016 .

Enlaces externos