14:29
Обмен ключами в Интернете
В вычислении , Internet Key Exchange ( IKE , иногда IKEv1 или IKEv2 , в зависимости от версии) это протокол , используемый для настройки ассоциации безопасности (SA) в IPsec набора протоколов. IKE основывается на протоколе Oakley и ISAKMP . KE использует сертификаты X.509 для аутентификации - с предварительным общим доступом или с распределенным использованием DNS (предпочтительно с DNSSEC ) - и обмен ключами Диффи-Хеллмана для установки общего секрета сеанса, из которогокриптографические ключи являются производными.  Кроме того, политика безопасности для каждого однорангового узла, который будет подключаться, должна поддерживаться вручную.
Большинство реализаций IPsec состоят из демона IKE , работающего в пространстве пользователя, и стека IPsec в ядре, который обрабатывает фактические IP- пакеты.
Демоны пользовательского пространства имеют легкий доступ к запоминающему устройству, содержащему информацию о конфигурации, такую ​​как адреса конечных точек IPsec, ключи и сертификаты, по мере необходимости. Модули ядра, с другой стороны, могут обрабатывать пакеты эффективно и с минимальными издержками, что важно по соображениям производительности.
Протокол IKE использует пакеты UDP , как правило, на порту 500, и, как правило, для создания SA (ассоциации безопасности) с обеих сторон требуется 4–6 пакетов с 2–3 обходами. Затем согласованный ключевой материал передается в стек IPsec. Например, это может быть ключ AES , информация, идентифицирующая конечные точки IP и порты, которые должны быть защищены, а также какой тип туннеля IPsec был создан. Стек IPsec, в свою очередь, перехватывает соответствующие IP-пакеты, если и где это необходимо, и выполняет шифрование / дешифрование по мере необходимости. Реализации различаются в зависимости от того, как осуществляется перехват пакетов - например, некоторые используют виртуальные устройства, другие извлекают часть из межсетевого экрана и т. Д.
IKEv1 состоит из двух фаз: фазы 1 и фазы 2.

Целью первой фазы IKE является установление защищенного аутентифицированного канала связи с использованием алгоритма обмена ключами Диффи-Хеллмана для генерации общего секретного ключа для шифрования дальнейших связей IKE. Результатом этих переговоров является одна двунаправленная ассоциация безопасности ISAKMP (SA). Аутентификация может выполняться с использованием либо предварительного общего ключа (общего секретного ключа ), подписей или шифрования с открытым ключом.  Фаза 1 работает в основном режиме или в агрессивном режиме. Основной режим защищает идентичность одноранговых узлов и хэш общего ключа путем их шифрования; Агрессивного режима нет. 
На втором этапе IKE одноранговые узлы IKE используют безопасный канал, созданный на первом этапе, для согласования ассоциаций безопасности от имени других служб, таких как IPsec . В результате переговоров получается как минимум две однонаправленные ассоциации безопасности (одна входящая и одна исходящая).  Фаза 2 работает только в быстром режим

Рабочая группа IETF ipsecme стандартизировала ряд расширений с целью модернизации протокола IKEv2 и его лучшей адаптации к производственным средам большого объема. Эти расширения включают в себя:
Возобновление сеанса IKE : возможность возобновить неудачный «сеанс» IKE / IPsec после сбоя без необходимости проходить весь процесс настройки IKE ( RFC 5723 ).
IKE redirect : перенаправление входящих запросов IKE, позволяющее простую балансировку нагрузки между несколькими конечными точками IKE ( RFC 5685 ).
Видимость трафика IPsec : специальная маркировка пакетов ESP, которые аутентифицированы, но не зашифрованы, с целью облегчить промежуточным коробкам (таким как системы обнаружения вторжений ) анализ потока ( RFC 5840 ).
Взаимная аутентификация EAP : поддержка аутентификации EAP- only (т.е. без сертификата) обоих узлов IKE; цель состоит в том, чтобы позволить использовать современные методы аутентификации на основе паролей ( RFC 5998 ).
Быстрое обнаружение сбоев : минимизирует время, пока одноранговый узел IKE обнаружит, что его противоположный одноранговый узел потерпел крах ( RFC 6290 )
Расширения высокой доступности : улучшение синхронизации протокола уровня IKE / IPsec между кластером конечных точек IPsec и одноранговым узлом, чтобы уменьшить вероятность разрыва соединений после события аварийного переключения ( RFC 6311 ).

Утвержденные презентации NSA, выпущенные Der Spiegel, показывают, что IKE используется неизвестным образом для расшифровки трафика IPSec, как и ISAKMP .
Категорія: Технологии Кибербезопасности | Переглядів: 240 | Додав: Kontent_MENEGER | Теги: Обмен ключами в Интернете | Рейтинг: 0.0/0
Всього коментарів: 0
avatar