ISAKMP
ISAKMP (Internet Security Association and Key Management Protocol — Ассоциация Безопасности Интернета и Протокол Управления Ключами) — это протокол, определенный в RFC 2408 для установления Ассоциаций Безопасности (SA) и криптографических ключей в среде Интернета. ISAKMP обеспечивает только платформу для аутентификации и обмена ключами и предназначен для независимого обмена ключами; протоколы, такие как Internet Key Exchange и Kerberized Internet Negotiation of Keys, предоставляют аутентифицированный материал ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME вместе с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP, для IETF IPsec DOI[1]
Обзор
ISAKMP определяет процедуры для аутентификации взаимодействующего однорангового узла, создания и управления ассоциациями безопасности, методов генерации ключей и уменьшения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы[1] ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительный SA формируется с использованием этого протокола; позже был создан новый ключ.
ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.
ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Существует много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.
ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP по порту 500.
Реализация
OpenBSD впервые внедрила ISAKMP в 1998 году с помощью программного обеспечения isakmpd(8).
Служба IPsec Services в Microsoft Windows обрабатывает эту функцию.
Проект KAME реализует ISAKMP для Linux и большинства других BSDs с открытым исходным кодом.
Современные маршрутизаторы Cisco используют ISAKMP для согласования VPN.
Уязвимости
Просочившиеся презентации NSA, выпущенные Der Spiegel', указывают на то, что ISAKMP используется неизвестным образом для дешифрования трафика IPSec, как и IKE.[2] Исследователи обнаружили, что состояние атаки Logjam, которое разрывает 1024-битную группу Диффи-Хеллмана, сломало бы 66 % VPN-серверов, 18 % из первого миллиона доменов HTTPS и 26 % SSH-серверов, что согласуется с тем, что утверждают исследователи, согласуется с утечками.[3]
Примечания
- The Internet Key Exchange (IKE), RFC 2409, § 1 Abstract
- Fielded Capability: End-to-end VPN SPIN9 Design Review, NSA via 'Der Spiegel', с. 5, <http://www.spiegel.de/media/media-35529.pdf>
- (October 2015) «Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice» in 22nd ACM Conference on Computer and Communications Security (CCS ’15).. Дата обращения: 15 June 2016.