Internet Security Association and Key Management Protocol - Internet Security Association and Key Management Protocol
O protocolo ISAKMP ( Internet Security Association e Key Management Protocol ) é um protocolo definido pelo RFC 2408 para estabelecer a associação de segurança (SA) e as chaves criptográficas em um ambiente da Internet. ISAKMP fornece apenas uma estrutura para autenticação e troca de chaves e é projetado para ser independente da troca de chaves; protocolos como Internet Key Exchange (IKE) e Kerberized Internet Negotiation of Keys (KINK) fornecem material de codificação autenticado para uso com ISAKMP. Por exemplo: IKE descreve um protocolo que usa parte de Oakley e parte de SKEME em conjunto com ISAKMP para obter material de chave autenticado para uso com ISAKMP e para outras associações de segurança, como AH e ESP para o IETF IPsec DOI.
Visão geral
ISAKMP define os procedimentos para autenticação de um ponto de comunicação, criação e gerenciamento de associações de segurança , técnicas de geração de chaves e mitigação de ameaças (por exemplo, ataques de negação de serviço e repetição). Como estrutura, o ISAKMP normalmente utiliza o IKE para a troca de chaves, embora outros métodos tenham sido implementados, como a negociação de chaves pela Internet Kerberizada . Uma SA preliminar é formada usando este protocolo; mais tarde, uma nova codificação é feita.
ISAKMP define procedimentos e formatos de pacote para estabelecer, negociar, modificar e excluir associações de segurança. Os SAs contêm todas as informações necessárias para a execução de vários serviços de segurança de rede, como os serviços da camada IP (como autenticação de cabeçalho e encapsulamento de carga útil), transporte ou serviços da camada de aplicativo ou autoproteção do tráfego de negociação. ISAKMP define cargas úteis para troca de geração de chaves e dados de autenticação. Esses formatos fornecem uma estrutura consistente para a transferência de dados de chave e autenticação que é independente da técnica de geração de chave, algoritmo de criptografia e mecanismo de autenticação.
ISAKMP é diferente dos protocolos de troca de chave para separar claramente os detalhes do gerenciamento de associação de segurança (e gerenciamento de chave) dos detalhes de troca de chave. Pode haver muitos protocolos de troca de chaves diferentes, cada um com propriedades de segurança diferentes. No entanto, uma estrutura comum é necessária para concordar com o formato dos atributos de SA e para negociar, modificar e excluir SAs. ISAKMP serve como uma estrutura comum.
ISAKMP pode ser implementado em qualquer protocolo de transporte. Todas as implementações devem incluir capacidade de envio e recebimento para ISAKMP usando UDP na porta 500.
Implementação
O OpenBSD implementou o ISAKMP pela primeira vez em 1998 por meio de seu software isakmpd (8) .
O serviço de serviços IPsec no Microsoft Windows controla essa funcionalidade.
O projeto KAME implementa ISAKMP para Linux e a maioria dos outros BSDs de código aberto .
Roteadores Cisco modernos implementam ISAKMP para negociação VPN.
Vulnerabilidades
Apresentações NSA vazadas lançadas pela Der Spiegel ' indicam que o ISAKMP está sendo explorado de uma maneira desconhecida para descriptografar o tráfego IPSec, assim como o IKE . Os pesquisadores que descobriram o ataque Logjam afirmam que quebrar um grupo Diffie-Hellman de 1024 bits quebraria 66% dos servidores VPN, 18% dos milhões de domínios HTTPS e 26% dos servidores SSH, o que é consistente com os vazamentos de acordo com Os pesquisadores.