ISAKMP — Википедия

ISAKMP (Internet Security Association and Key Management Protocol — Ассоциация Безопасности Интернета и Протокол Управления Ключами) — это протокол, определенный в RFC 2408 для установления Ассоциаций Безопасности (SA) и криптографических ключей в среде Интернета. ISAKMP обеспечивает только платформу для аутентификации и обмена ключами и предназначен для независимого обмена ключами; протоколы, такие как Internet Key Exchange и Kerberized Internet Negotiation of Keys, предоставляют аутентифицированный материал ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME вместе с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP, для IETF IPsec DOI[1]

ISAKMP определяет процедуры для аутентификации взаимодействующего однорангового узла, создания и управления ассоциациями безопасности, методов генерации ключей и уменьшения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы[1] ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительный SA формируется с использованием этого протокола; позже был создан новый ключ.

ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.

ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Существует много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.

ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP по порту 500.

Реализация

[править | править код]

OpenBSD впервые внедрила ISAKMP в 1998 году с помощью программного обеспечения isakmpd(8).

Служба IPsec Services в Microsoft Windows обрабатывает эту функцию.

Проект KAME реализует ISAKMP для Linux и большинства других BSDs с открытым исходным кодом.

Современные маршрутизаторы Cisco используют ISAKMP для согласования VPN.

Уязвимости

[править | править код]

Просочившиеся презентации NSA, выпущенные Der Spiegel, указывают на то, что ISAKMP используется неизвестным образом для дешифрования трафика IPSec, как и IKE.[2] Исследователи, которые открыли атаку Logjam заявили, что взлом 1024-битной группы Диффи-Хеллмана, сломал бы 66 % VPN-серверов, 18 % из первого миллиона доменов HTTPS и 26 % SSH-серверов, что согласуется с утечками как считают исследователи.[3]

Примечания

[править | править код]
  1. 1 2 The Internet Key Exchange (IKE), RFC 2409, § 1 Abstract
  2. Fielded Capability: End-to-end VPN SPIN9 Design Review (PDF), NSA via 'Der Spiegel', p. 5, Архивировано (PDF) 28 января 2019, Дата обращения: 27 декабря 2018 Источник. Дата обращения: 27 декабря 2018. Архивировано 28 января 2019 года.
  3. Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (October 2015). Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice (PDF). 22nd ACM Conference on Computer and Communications Security (CCS ’15). Denver. Архивировано из оригинала (PDF) 20 декабря 2018. Дата обращения: 15 июня 2016.
  • RFC 2408 — Internet Security Association and Key Management Protocol
  • RFC 2407 — The Internet IP Security Domain of Interpretation for ISAKMP