Interested Article - ISAKMP

ISAKMP ( I nternet S ecurity A ssociation and K ey M anagement P rotocol — Ассоциация Безопасности Интернета и Протокол Управления Ключами) — это протокол, определенный в RFC 2408 для установления (SA) и криптографических ключей в среде Интернета. ISAKMP обеспечивает только платформу для аутентификации и обмена ключами и предназначен для независимого обмена ключами; протоколы, такие как Internet Key Exchange и , предоставляют аутентифицированный материал ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME вместе с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP, для IETF IPsec DOI

Обзор

ISAKMP определяет процедуры для аутентификации взаимодействующего однорангового узла, создания и управления , методов и уменьшения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как . Предварительный SA формируется с использованием этого протокола; позже был создан новый ключ.

ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.

ISAKMP отличается от , чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Существует много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.

ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP по порту 500.

Реализация

OpenBSD впервые внедрила ISAKMP в 1998 году с помощью программного обеспечения .

Служба IPsec Services в Microsoft Windows обрабатывает эту функцию.

реализует ISAKMP для Linux и большинства других BSDs с открытым исходным кодом.

Современные маршрутизаторы Cisco используют ISAKMP для согласования VPN.

Уязвимости

Просочившиеся презентации NSA , выпущенные Der Spiegel , указывают на то, что ISAKMP используется неизвестным образом для дешифрования трафика IPSec, как и IKE . Исследователи обнаружили, что состояние , которое разрывает 1024-битную , сломало бы 66 % VPN-серверов, 18 % из первого миллиона доменов HTTPS и 26 % SSH-серверов, что согласуется с тем, что утверждают исследователи, согласуется с утечками.

См. также

Примечания

↑ The Internet Key Exchange (IKE), , § 1 Abstract
(PDF) , NSA via 'Der Spiegel', p. 5 (неопр.) . Дата обращения: 27 декабря 2018. Архивировано 28 января 2019 года.
Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; ; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (October 2015). (PDF) . 22nd ACM Conference on Computer and Communications Security (CCS ’15). Denver . Архивировано из (PDF) 20 декабря 2018 . Дата обращения: 15 июня 2016 .