ISAKMP

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

ISAKMP (Internet Security Association and Key Management Protocol — Ассоциация Безопасности Интернета и Протокол Управления Ключами) — это протокол, определенный в RFC 2408 для установления Ассоциаций Безопасности (SA) и криптографических ключей в среде Интернета. ISAKMP обеспечивает только платформу для аутентификации и обмена ключами и предназначен для независимого обмена ключами; протоколы, такие как Internet Key Exchange и Kerberized Internet Negotiation of Keys, предоставляют аутентифицированный материал ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME вместе с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP, для IETF IPsec DOI[1]

Обзор[править | править код]

ISAKMP определяет процедуры для аутентификации взаимодействующего однорангового узла, создания и управления ассоциациями безопасности, методов генерации ключей и уменьшения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы[1] ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительный SA формируется с использованием этого протокола; позже был создан новый ключ.

ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.

ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Существует много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.

ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP по порту 500.

Реализация[править | править код]

OpenBSD впервые внедрила ISAKMP в 1998 году с помощью программного обеспечения isakmpd(8).

Служба IPsec Services в Microsoft Windows обрабатывает эту функцию.

Проект KAME реализует ISAKMP для Linux и большинства других BSDs с открытым исходным кодом.

Современные маршрутизаторы Cisco используют ISAKMP для согласования VPN.

Уязвимости[править | править код]

Просочившиеся презентации NSA, выпущенные Der Spiegel', указывают на то, что ISAKMP используется неизвестным образом для дешифрования трафика IPSec, как и IKE.[2] Исследователи обнаружили, что состояние атаки Logjam, которое разрывает 1024-битную группу Диффи-Хеллмана, сломало бы 66 % VPN-серверов, 18 % из первого миллиона доменов HTTPS и 26 % SSH-серверов, что согласуется с тем, что утверждают исследователи, согласуется с утечками.[3]

См. также[править | править код]

Примечания[править | править код]

  1. 1 2 The Internet Key Exchange (IKE), RFC 2409, § 1 Abstract
  2. Fielded Capability: End-to-end VPN SPIN9 Design Review, NSA via 'Der Spiegel', с. 5, <http://www.spiegel.de/media/media-35529.pdf> 
  3. (October 2015) "Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice" in 22nd ACM Conference on Computer and Communications Security (CCS ’15).. Проверено 15 June 2016. 

Ссылки[править | править код]

  • RFC 2408 — Internet Security Association and Key Management Protocol
  • RFC 2407 — The Internet IP Security Domain of Interpretation for ISAKMP