IKE y ISAKMP

76 0 0 0

IKE y ISAKMP

Las claves utilizadas para el cifrado y autenticación de VPN IPSec manual están configuradas manualmente. Para garantizar la seguridad a largo plazo de una VPN IPSec, estas claves deben ser modificadas y reemplazadas a menudo. A medida que crece el número de sub-hosts, la tarea de configuración y modificación clave se hace cada vez más difícil. A medida que las fuerzas de Tiandihui crecieron en fuerza, el mantenimiento y administración de las VPN IPSec se convirtió en una tarea intimidante. Para disminuir la carga de la administración de VPN IPSec, el Tiandihui Host pagó homenaje al Supremo Host para encontrar un elixir para sus dolencias. El elixir estaba allí todo el tiempo, un regalo de los dioses. Los perfiles de protocolo IPsec han reflexionado durante mucho tiempo sobre este dilema: La respuesta radica en un mayordomo "inteligente" -el protocolo IKE (Intercambio de claves de Internet).

Ike combina 3 protocolos principales -el ISAKMP (Internet Security Association y el protocolo de gestión de claves), Oakley protocol y el protocolo Skeme.

  • ISAKMP define principalmente el proceso utilizado para establecer la relación de colaboración (por ejemplo IKE SA e IPSec SA) entre los pares IKE.

  • En el corazón de los protocolos Oakley y SKEME está el algoritmo DH (Diffie-Hellman), que garantiza la seguridad de la transferencia de datos a través de la distribución segura de la identificación de claves y autenticación a través de Internet. No subestime el algoritmo DH. Con ello, también se pueden actualizar dinámicamente las claves de cifrado y autenticación necesarias para IPSec y IKE SAs.

Con una asociación IKE, la seguridad de la VPN IPSec y los problemas administrativos ya no eran un problema para Tiandihui Ahora, el nuevo sub-host VPNs podría ser establecido a velocidades increíbles.

El objetivo final del protocolo IKE es establecer un IPSec SA dinámico a través de las negociaciones del host host-to-sub, al mismo tiempo que proporciona mantenimiento en tiempo real del IPSec SA. El establecimiento de un IPSec SA y la correspondiente negociación IKE se completan a través de paquetes ISAKMP, y como tal, antes de desplegar nuestro IKE, la Dra. WoW nos dará una lección sobre los paquetes ISAKMP, como se muestra en la Figura 1-1.

 

Figura 1-1 ISAKMP Encapsulación de paquetes y encabezados de paquetes

144854b5np2pj677tzp676.jpg

  • Cabecera de un paquete IP.

  • SRC (Source IP Address): local IP address of the initiated IKE negotiation; may be that of a physical/logical interface and maybe be command configured.

  • DST (Destination IP Address): peer IP address of the initiated IKE negotiation; command configured.

 

  • Cabecera de un paquete UDP.

El puerto de protocolo Ike 500 inicia la negociación y responde a la negociación. Cuando tanto el host como los subhosts tienen direcciones IP fijas, este puerto nunca cambiará en el proceso de negociación. Cuando el host o el sub-host tienen un escenario (NAT traversal del dispositivo NAT), el protocolo IKE utilizará un proceso especial que discutiremos más adelante.

 

  • Cabecera de un paquete ISAKMP.

La cookie del iniciador (SPI) y la cookie de respondedor (SPI): El SPI de the sirve como una cookie para IKEv1 e IKEv2, identificador IKE SA único de a.

  • ? Versión: El número de versión IKE. Muchas cosas han cambiado para mejor desde el lanzamiento de Ikes. Para diferenciar, los Ikes más antiguos son conocidos como IKEv1 mientras que los Ikes actualizados son conocidos como "IKEv2".

  • ? Tipo de cambio: El tipo de cambio definido por IKE. Los tipos de cambio definen la secuencia de intercambio que deben seguir los mensajes ISAKMP. Más adelante, discutiremos el modo principal de IKEv1, modo agresivo y modo rápido. Cuando discutamos IKEv2 mencionaremos los intercambios iniciales y los intercambios de niños. Todos estos son diferentes tipos de intercambio definidos por IKE.

  • ? Siguiente Payload: El siguiente tipo de carga útil identifica el mensaje. Se puede cargar un paquete ISAKMP único con múltiples cargas útiles. Este campo proporciona capacidades de "enlace" dentro de la carga útil. Si la carga útil actual es la carga útil final del mensaje, este campo será 0.

ISAKMP Payload: Tipo de carga útil transportada en un packet ISAKMP que se utiliza como "paquete de parámetros" para la negociación de los SAs IKE e IPSec. Hay muchos tipos diferentes de cargas útiles, y cada carga útil diferente puede llevar diferentes "paquetes de parámetros". El uso específico de diferentes cargas útiles se discutirá junto con el proceso de captura de paquetes.

La esencia de IKEv1 y IKEv2 es el foco de esta sección. Sin más preámbulos, el doctor WoW lo presentará.

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba