IKEv2 Internet Key Exchange

Pubilicado 2019-1-11 11:57:16 59 0 0 0

1.       IKEv2 Resumen

IKEv1 parecía lo suficientemente perfecto, pero en poco tiempo, sus deficiencias comenzaron a aclararse.

 

·         Largos tiempos de negociación de IPSec SA

 

Para una única negociación de IPSec SA, el modo principal de IKEv1 normalmente deberá enviar 6 (negociación de IKE SA) + 3 (negociación de IPSec SA) = 9 mensajes.

 

Para una única negociación IPSec SA, el modo agresivo IKEv1 normalmente deberá enviar 3 (negociación IKE SA) + 3 (negociación IPSec SA) = 6 mensajes.

 

·         No hay soporte para acceso de usuarios remoto

 

IKEv1 no puede realizar la autenticación para usuarios remotos. Si queremos admitir accesos de usuarios remotos, solo podemos usar L2TP y usar la autenticación AAA con PPP para autenticar usuarios remotos.

 

¿Cómo lidiar con esto? ¡Nunca temas! ¡Nunca hay un problema demasiado difícil de resolver! IKEv2 es la respuesta perfecta a todos estos problemas.

 

IKEv2 vs IKEv1:

 

·         Mayor impulso de velocidad a las negociaciones de IPSec SA

 

El promedio de negociación IKEv2 para una única negociación IPSec SA solo requerirá 2 (negociación IKE SA) + 2 (negociación IPSec SA) = 4 mensajes. Las SA de IPSec sucesivas solo requerirán dos mensajes más.

 

·         Autenticación de identidad del método EAP (Extensible Authentication Protocol).

 

Aquí, solo discutiremos el proceso de negociación IKEv2 básico y no tocaremos la autenticación EAP en nuestra discusión de redes empresariales por el momento.

En la Imagen 1-1 podemos ver el entorno de red completo que puede ayudar a explicar cómo funciona realmente IKEv2.


Imagen 1-1 Red IKEv2 / IPSec VPN.



115216rdksuxnoddxgs8rd.png


La configuración de IKEv2 es casi exactamente la misma que la de IKEv1, con algunos cambios.

Como se muestra en la Imagen 1-2, los comandos en cursiva difieren de IKEv1. De forma predeterminada, el firewall iniciará los protocolos IKEv1 e IKEv2. Cuando la negociación se inicia localmente, se utiliza IKEv2. Al recibir una negociación, se admiten IKEv1 e IKEv2. Entonces, también podemos dejar IKEv1 activado.

 

Imagen 1-2 Esquema de la configuración IKEv2 / IPSec

115308at46jpm5tp0tu04s.png


1.      Proceso de negociación IKEv2.


El proceso de negociación de IKEv2 IPSec SA es muy diferente al de IKEv1; Podemos crear una IPSec SA en tan solo 4 mensajes! ¡Hablar de eficiencia!

1.      Con 4 mensajes iniciales de intercambio, IKE SA e IPSec SA son atendidos simultáneamente.

 

El intercambio inicial de IKEv2 utiliza 4 mensajes para establecer IKE SA e IPSec SA. Los mensajes del paquete de captura son los siguientes:


115327af6p0tmwhwt66waw.png


Como se muestra en la Imagen 1-3, el intercambio inicial incluye el intercambio inicial IKE SA (intercambio IKE_SA_INIT) y el intercambio de autenticación IKE (intercambio IKE_AUTH).

Imagen 1-3 Intercambio inicial


115340udri9h9hisi9s9dd.png


·         Primer mensaje (IKE_SA_INIT)

Esta negociación es responsable de los parámetros de IKE SA, incluida la propuesta de IKE, los números aleatorios temporales (nonce) y los valores de DH.


115407i5epywpw5gw8me18.png



La carga útil de SA se utiliza principalmente para negociar propuestas de IKE.


115416v2id29p1uikpua1z.png


KE (Key Exchange) y las cargas útiles nonce se utilizan principalmente para intercambiar materiales clave.


115425j6ebgl6bxtemlxym.png


Una vez intercambiado por el IKE_SA_INIT, el IKEv2 generará en última instancia 3 tipos de claves:

SK_e: se utiliza para cifrar el segundo mensaje.

SK_a: se utiliza para autenticar la identidad del segundo mensaje.

SK_d: se utiliza para los materiales de encriptación derivado de la SA (IPSec SA).

 

·         Segundo mensaje (IKE_AUTH)

 

Esto es responsable de la autenticación de identidad y de la creación de la primer SA secundaria (IPSec SA). Actualmente, hay dos técnicas de uso común para la autenticación de identidad:

 

Método de clave precompartida (precompartido): el mensaje de identidad del dispositivo es la dirección IP o el nombre.

Método de certificado digital: el mensaje de identidad del dispositivo es el certificado y un mensaje parcial de valor HASH (firma) autenticado mediante cifrado de clave privada.

 

Los mensajes de identidad, sobre todo, utilizan el cifrado SKEYID_e.

 

Cuando se crea un SA secundario, naturalmente, también es necesario negociar una propuesta IPSec para el flujo de datos protegidos. IKEv2 utilizará las cargas útiles de TS (TSi y TSr) para negociar las reglas de ACL entre los dos dispositivos. El resultado final es que las dos reglas de ACL configurarán una intersección (esto es diferente de IKEv1; IKEv1 no tiene cargas de TS para negociar la regla de ACL).

 

Cuando un solo IKE SA necesita crear múltiples SA de IPSec, como cuando dos interlocutores de IPSec envían múltiples flujos de datos de un lado a otro, se debe utilizar un intercambio de SA secundario para negociar las SA de IPSec subsiguientes.



·         El SA derivado intercambia dos mensajes para establecer un IPSec SA.


115508gqgqrk5rnqm5m8pq.png


Los intercambios de SA derivado solo pueden realizarse después de que se complete el intercambio inicial de IKE. El iniciador de intercambio puede ser el iniciador desde el intercambio inicial de IKE así como el respondedor hasta el intercambio inicial de IKE. Estos dos mensajes estarán protegidos por la clave de negociación de intercambio inicial IKE.

 

IKEv2 también es compatible con la función PFS, y se puede realizar un nuevo intercambio DH y se puede generar una nueva clave IPSec SA durante la fase de intercambio SA secundaria.




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba