ISAKMP

ISAKMP (Internet Security Association and Key Management Protocol — Ассоциация Безопасности Интернета и Протокол Управления Ключами) — это протокол, определенный в RFC 2408 для установления Ассоциаций Безопасности (SA) и криптографических ключей в среде Интернета. ISAKMP обеспечивает только платформу для аутентификации и обмена ключами и предназначен для независимого обмена ключами; протоколы, такие как Internet Key Exchange и Kerberized Internet Negotiation of Keys, предоставляют аутентифицированный материал ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME вместе с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP, для IETF IPsec DOI^[1]

Обзор править

ISAKMP определяет процедуры для аутентификации взаимодействующего однорангового узла, создания и управления ассоциациями безопасности, методов генерации ключей и уменьшения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы^[1] ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительный SA формируется с использованием этого протокола; позже был создан новый ключ.

ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.

ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Существует много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.

ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP по порту 500.

Реализация править

OpenBSD впервые внедрила ISAKMP в 1998 году с помощью программного обеспечения isakmpd(8).

Служба IPsec Services в Microsoft Windows обрабатывает эту функцию.

Проект KAME реализует ISAKMP для Linux и большинства других BSDs с открытым исходным кодом.

Современные маршрутизаторы Cisco используют ISAKMP для согласования VPN.

Уязвимости править

Просочившиеся презентации NSA, выпущенные Der Spiegel, указывают на то, что ISAKMP используется неизвестным образом для дешифрования трафика IPSec, как и IKE.^[2] Исследователи, которые открыли атаку Logjam заявили, что взлом 1024-битной группы Диффи-Хеллмана, сломал бы 66 % VPN-серверов, 18 % из первого миллиона доменов HTTPS и 26 % SSH-серверов, что согласуется с утечками как считают исследователи.^[3]

См. также править

Примечания править

↑ ¹ ² The Internet Key Exchange (IKE), RFC 2409, § 1 Abstract
↑ Fielded Capability: End-to-end VPN SPIN9 Design Review (PDF), NSA via 'Der Spiegel', p. 5, Архивировано (PDF) из оригинала 28 января 2019, Дата обращения: 27 декабря 2018 Источник (неопр.). Дата обращения: 27 декабря 2018. Архивировано 28 января 2019 года.
↑ Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (October 2015). Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice (PDF). 22nd ACM Conference on Computer and Communications Security (CCS ’15). Denver. Архивировано из оригинала (PDF) 20 декабря 2018. Дата обращения: 15 июня 2016.

Ссылки править

RFC 2408 — Internet Security Association and Key Management Protocol
RFC 2407 — The Internet IP Security Domain of Interpretation for ISAKMP

[rfc2409_sec1-1] ¹ ² The Internet Key Exchange (IKE), RFC 2409, § 1 Abstract

[2] Fielded Capability: End-to-end VPN SPIN9 Design Review (PDF), NSA via 'Der Spiegel', p. 5, Архивировано (PDF) из оригинала 28 января 2019, Дата обращения: 27 декабря 2018 Источник (неопр.). Дата обращения: 27 декабря 2018. Архивировано 28 января 2019 года.

[3] Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (October 2015). Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice (PDF). 22nd ACM Conference on Computer and Communications Security (CCS ’15). Denver. Архивировано из оригинала (PDF) 20 декабря 2018. Дата обращения: 15 июня 2016.

[1]

[2]

[3]