Descripción del protocolo IKE utilizado en Routers AR Huawei Destacado

Última respuesta jun. 18, 2019 13:40:49 104 2 1 0

Internet Key Exchange (IKE) es un protocolo de capa de aplicación basado en el Protocolo de datagramas de usuario (UDP) basado en el marco de la Asociación de seguridad de Internet y el Protocolo de administración de claves (Internet Security Association and Key Management Protocol ISAKMP). Implementa la negociación automática de claves y la configuración de la Asociación de Seguridad IPSec, utilizado para simplificar el uso y la administración de IPSec, además de facilitar la configuración y el mantenimiento de IPSec.

 

La siguiente figura muestra la relación entre IKE e IPSec. Los dos pares establecen una IKE SA para la autenticación de identidad y el intercambio de información clave. Protegidos por IKE SA, los interlocutores negocian un par de SA de IPSec utilizando el protocolo de encabezado de autenticación (AH) o el protocolo de carga de seguridad de encapsulación (ESP) y otros parámetros configurados. Posteriormente, los datos se cifran y se transmiten entre los pares en un túnel IPSec.


101834czeyycywyfq8fwkk.png?image.png

Relación entre IKE e IPSec

 

Mecanismos de seguridad IKE

 

IKE define una serie de mecanismos de autoprotección que pueden autenticar identidades de manera segura, distribuir claves y establecer SA de IPSec en una red insegura:

 

Autenticación de identidad

 

Dos pares autentican la identidad (dirección IP o nombre) de cada uno, utilizando la autenticación de clave precompartida (PSK), la autenticación de firma RSA.

 

Autenticación de clave precompartida: se utiliza una clave de autenticación para generar una clave. Los dos pares calculan el valor de hash de los paquetes utilizando una clave compartida y comprueban si obtienen el mismo valor de hash. Si obtienen el mismo valor hash, la autenticación se realiza correctamente. De lo contrario, la autenticación falla.

 

Autenticación de firma RSA: los dos pares utilizan un certificado emitido por una autoridad de certificación (CA) para verificar la validez de un certificado digital. Cada par tiene una clave pública (transmitida a través de la red) y una clave privada (poseída por sí misma). El remitente calcula un valor de hash para los paquetes originales y, a continuación, cifra el valor de hash con su clave privada para generar una firma digital. El receptor descifra la firma digital utilizando la clave pública recibida del remitente y luego calcula un valor de hash. Si el valor hash calculado es el mismo que el descifrado de la firma digital, la autenticación se realiza correctamente. De lo contrario, la autenticación falla.

 

Cuando un peer tiene varios peers, la autenticación PSK requiere que se configure la misma clave precompartida en todos los iguales. Este método de autenticación se puede implementar fácilmente en redes de pequeña escala pero tiene poca seguridad. La autenticación de firma RSA proporciona alta seguridad pero requiere certificados digitales emitidos por una CA. Este método de autenticación es aplicable a redes de gran escala.

 

IKE admite los siguientes algoritmos de autenticación: AES-XCBC-MAC-96, MD5, SHA1, SHA2-256, SHA2-384 y SHA2-512.

 

Protección de identidad

 

Después de generar una clave, los datos de identidad se cifran para garantizar una transmisión segura.

 

IKE admite los siguientes algoritmos de cifrado: DES, 3DES, AES-128, AES-192 y AES-256.

 

DH

 

Diffie-Hellman (DH) es un mecanismo de intercambio de claves públicas que genera materiales clave y utiliza mensajes ISAKMP para intercambiar materiales clave entre el iniciador y el respondedor. Luego, los dispositivos en ambos extremos calculan la misma clave simétrica para generar la clave de encriptación y la clave de autenticación. Los dos dispositivos no intercambian la clave real en ningún caso. El intercambio de claves DH es la parte central de IKE.

 

Los algoritmos MD5, SHA1, DES, 3DES y AES pueden usar el algoritmo DH para permitir compartir una clave simétrica entre dos partes.

 

DH utiliza grupos de claves para definir la longitud de la clave. Una tecla más larga indica una tecla más fuerte.

 

Grupo clave

Longitud de la llave

1

768 bits

2

1024 bits

5

1536 bits

14

2048 bits

15

3072 bits

16

4096 bits

19

256 bits ECP

20

384 bits ECP

21

521 bits ECP

Grupo clave DH

 

PFS

 

Perfect Forward Secrecy (PFS) es una función de seguridad que protege la seguridad de otras claves en caso de que se descifre una clave, ya que estas claves son independientes entre sí. La clave utilizada en una SA de IPSec se deriva de la clave utilizada en una SA de IKE. Una IKE SA genera uno o más pares de IPSec SA a través de la negociación. Después de obtener la clave IKE, un atacante puede recopilar suficiente información para calcular la clave utilizada en IPSec SA. Para garantizar la seguridad de la clave, PFS realiza un intercambio de claves DH adicional.

 

NOTA:

Los algoritmos de autenticación como MD5 y SHA1 son inseguros. Se recomienda el algoritmo AES-XCBC-MAC-96, SHA2-256, SHA2-384 o SHA2-512 más seguro.

Los algoritmos de encriptación DES y 3DES son inseguros. Se recomienda el algoritmo AES más seguro.

 

Comparación entre IKEv1 e IKEv2

 

IKE tiene dos versiones: IKEv1 e IKEv2.

 

IKEv2 tiene las siguientes ventajas sobre IKEv1:

 

l  Simplifica la negociación de SA y mejora la eficiencia de negociación.

IKEv1 pasa por dos fases para negociar la clave y establecer SA para IPSec. En la fase 1, dos pares de IKE negocian para establecer un canal seguro, IKE SA. En la fase 2, los pares de IKE establecen un par de SA de IPSec utilizando el canal seguro establecido en la fase 1. IKEv2 genera la clave y establece SA para IPSec en una sola negociación, simplificando el proceso de negociación.

l  Corrige muchas vulnerabilidades criptográficas, mejorando la seguridad.

 

Con esto, damos por entendido el largo y delicado tema de IKE, si tiene alguna duda o comentario hágalo saber en las respuestas de esta publicación para poder ayudarle.

  • x
  • convención:

Hemingway
Moderador Publicado 2019-6-18 10:34:34 Útil(0) Útil(0)
Muy buen aporte! había escuchado del protocolo IKE pero no sabia de su funcionamiento e importancia.

Saludos

Descripción del protocolo IKE utilizado en Routers AR Huawei-2971317-1
  • x
  • convención:

wissal
Publicado 2019-6-18 13:40:49 Útil(0) Útil(0)
Buen post, gracias por compartir.
  • x
  • convención:

Telecommunications%20engineer%2C%20currently%20senior%20project%20manager%20at%20an%20operator%2C%20partner%20of%20Huawei%2C%20in%20the%20radio%20access%20network%20department%2C%20for%2020%20years%20I%20managed%20several%20types%20of%20projects%2C%20for%20the%20different%20nodes%20of%20the%20network.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje