Войти
Протокол сопоставления безопасности Интернета и управления ключами (ISAKMP ) - это протокол, определенный в RFC 2408 для установления ассоциации безопасности (SA) и криптографических ключей в среде Интернет. ISAKMP обеспечивает только основу для аутентификации и обмена ключами и разработан так, чтобы не зависеть от обмена ключами; такие протоколы, как Internet Key Exchange (IKE) и Kerberized Internet Negotiation of Keys (KINK), предоставляют аутентифицированный материал для ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME в сочетании с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP для IETF IPsec DOI
ISAKMP определяет процедуры для аутентификации взаимодействующего узла, создание и управление ассоциациями безопасности, генерация ключей и методы предотвращения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительная SA формируется с использованием этого протокола; позже выполняется новый ввод.
ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления ассоциаций безопасности. SA содержат всю информацию, необходимую для выполнения различных служб сетевой безопасности, таких как службы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), службы транспортного или прикладного уровня или самозащита согласованного трафика. ISAKMP определяет полезные данные для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключей и данных аутентификации, которая не зависит от метода генерации ключей, алгоритма шифрования и механизма аутентификации.
ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления ассоциациями безопасности (и управления ключами) от деталей обмена ключами. Может быть много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако общая структура требуется для согласования формата атрибутов SA и для согласования, изменения и удаления SA. ISAKMP служит этой общей структурой.
ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP на порту 500.
OpenBSD впервые реализовал ISAKMP в 1998 году через его isakmpd (8) программное обеспечение.
Служба служб IPsec в Microsoft Windows обрабатывает эту функцию.
Проект KAME реализует ISAKMP для Linux и большинство других BSD.
с открытым исходным кодом.
Современные маршрутизаторы Cisco реализуют ISAKMP для согласования VPN.
Утечка NSA презентации, выпущенные Der Spiegel 'указывают на то, что ISAKMP используется неизвестным образом для расшифровки трафика IPSec, как и IKE. Исследователи, обнаружившие атаку Logjam, утверждают, что взлом 1024-битной группы Диффи – Хеллмана приведет к поломке 66% серверов VPN, 18% из миллиона доменов HTTPS с наибольшим числом разрядов и 26% серверов SSH, что, по мнению исследователей, согласуется с утечками.
