De acuerdo

Introducción al proceso de negociación de IKEv1 phase 1 para IPSec

238 0 0 0 0

El propósito de la negociación de la fase 1 IKEv1 es establecer un IKE SA. Después de que se establezca un IKE SA, todos los mensajes de la asociación de seguridad de Internet y del Protocolo de administración de claves o  Internet Security Association and Key Management Protocol (ISAKMP) transmitidos entre dos pares IKE serán cifrados y autenticados. El túnel seguro establecido en la fase 1 permite que los pares IKE se comuniquen con seguridad en la fase 2.

 

La fase 1 de IKEv1 admite dos modos de negociación:

 

l  Negotiation Process in Main Mode

 

l  Negotiation Process in Aggressive Mode

 

Proceso de negociación en modo principal o Negotiation Process in Main Mode

El modo principal utiliza seis mensajes ISAKMP para implementar tres intercambios bidireccionales, como se muestra en la figura 1.

 

1. Intercambio de políticas: mensajes (1) y (2)

2. Intercambio de información clave: mensajes (3) y (4)

3. Intercambio de información de identidad y autenticación: mensajes (5) y (6)

 

Figura 1 Proceso de negociación en modo principal (autenticación de clave previamente compartida)

e1

Intercambio de políticas

Mensaje (1): El iniciador envía una payload SA que contiene una o más propuestas IKE para negociar una propuesta IPSec. El SA lleva los parámetros, tales como el algoritmo de encriptación, el método de autenticación, el algoritmo de autenticación, el grupo Diffie-Hellman (DH), y el IKE SA lifetime.

                                                                             

Mensaje (2): El respondedor encuentra la primera propuesta IKE coincidente y envía una payload SA para indicar que acepta la propuesta negociada IKE.

e2


Intercambio de información clave

Mensajes (3) y (4): El iniciador y el respondedor intercambian el número público de DH (payload KE) y el número aleatorio temporal (Ni, Nr). Ni y Nr se utilizan para calcular la clave de cifrado y la clave de autenticación.

 

Figura 3 Mensajes (3) y (4)

e3

 

Intercambio de información de identidad y autenticación

Mensajes (5) y (6): El iniciador y el respondedor intercambian el ID de identidad (payload ID) y verifican los valores hash (payload AUTH). La información transmitida en los mensajes (5) y (6) se cifra utilizando la clave generada en función de la información clave intercambiada en los mensajes (3) y (4), por lo que la información de identidad está protegida. Como la payload del ID se cifra en el modo principal, usted no puede ver su valor en el encabezado del paquete obtenido.

 

Figura 4 Mensajes (5) y (6)

e4


Proceso de negociación en modo agresivo Negotiation Process in Aggressive Mode

En el modo agresivo, solamente tres mensajes se utilizan en el proceso de intercambio, tal y como se muestra en la figura 5.

 

Los mensajes (1) y (2) se utilizan para negociar la propuesta IKE e intercambiar el número público de Diffie-Hellman, la información auxiliar obligatoria y la información de identidad. El mensaje (2) también contiene la información de identidad enviada por el respondedor al iniciador para la autenticación. El mensaje (3) es utilizado por el respondedor para autenticar al iniciador.


Figura 5 Proceso de negociación en modo agresivo (autenticación de clave previamente compartida)

e3

Mensaje (1): El iniciador envía una payload SA que contiene una propuesta IKE. En el modo agresivo, la payload SA contiene solamente una propuesta (algoritmo de cifrado, método de autenticación, algoritmo de autenticación, grupo DH y vida útil IKE SA). El respondedor puede aceptar o rechazar esta propuesta. Este mensaje también lleva el número público DH (payload KE), el número aleatorio temporal (payload de Ni) y el ID de identidad (payload ID). La información de identidad no se cifra en el modo agresivo, así que usted puede ver la información en el encabezado del paquete obtenido.

 

Figura 6 Mensaje (1)

e5


Mensaje (2): El respondedor envía una payload SA que contiene la propuesta recomendada IKE. Este mensaje también lleva el número público DH (payload KE), el número aleatorio temporal (payload del nr), el ID de identidad (payload ID), y el valor hash (payload AUTH).

 

Figura 7 Mensaje (2)

e6


Mensaje (3): El iniciador envía este mensaje para verificar el valor hash y confirmar el éxito de la negociación.

 

Figura 8 Mensaje (3)

e6


Resumen

Después de que la negociación de la fase 1 IKEv1 sea completa, ejecute el comando display ike sa para ver el establecimiento IKE SA. Si La marca se muestra como RD o RD ST, IKE SA se establecen con éxito. El valor ST indica que el extremo local inicia la negociación SA.

e10


Si se produce un error en la negociación, la salida de este comando está vacía, el parámetro Flag está vacío o el parámetro Peer se visualiza como 0.0.0.0.

 

Si los parámetros tales como la propuesta IKE y la clave previamente compartida en dos extremos de un túnel no hacen juego, un IKE SA no se puede establecer. La información de depuración común para los parámetros incoherentes IKE es la siguiente:



l  Las propuestas IKE configuradas en dos extremos son diferentes

e11


l  Las claves previamente compartidas configuradas en los dos extremos son diferentes


e12


l  El comando remote-address no se configura en un extremo.

e13


l  El valor del parámetro remote-id en el extremo local difiere del nombre del extremo remoto


e14


Saludos.

 

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.