Internet Security Association und Schlüsselverwaltungsprotokoll - Internet Security Association and Key Management Protocol
Internet Security Association and Key Management Protocol ( ISAKMP ) ist ein von RFC 2408 definiertes Protokoll zum Einrichten von Security Association (SA) und kryptografischen Schlüsseln in einer Internetumgebung. ISAKMP bietet lediglich einen Rahmen für die Authentifizierung und den Schlüsselaustausch und ist so konzipiert, dass er unabhängig vom Schlüsselaustausch ist; Protokolle wie Internet Key Exchange (IKE) und Kerberized Internet Negotiation of Keys (KINK) bieten authentifiziertes Schlüsselmaterial zur Verwendung mit ISAKMP. Beispiel: IKE beschreibt ein Protokoll, das einen Teil von Oakley und einen Teil von SKEME in Verbindung mit ISAKMP verwendet, um authentifiziertes Schlüsselmaterial zur Verwendung mit ISAKMP und für andere Sicherheitszuordnungen wie AH und ESP für den IETF IPsec DOI zu erhalten.
Überblick
ISAKMP definiert die Verfahren zur Authentifizierung eines kommunizierenden Peers, zur Erstellung und Verwaltung von Sicherheitszuordnungen , Techniken zur Schlüsselgenerierung und zur Abwehr von Bedrohungen (z. B. Denial-of-Service- und Replay-Angriffe). Als Framework verwendet ISAKMP normalerweise IKE für den Schlüsselaustausch, obwohl andere Methoden implementiert wurden, wie z. B. die Kerberized Internet Negotiation of Keys . Eine vorläufige SA wird unter Verwendung dieses Protokolls gebildet; später wird eine neue Keying durchgeführt.
ISAKMP definiert Verfahren und Paketformate zum Einrichten, Aushandeln, Ändern und Löschen von Sicherheitszuordnungen. SAs enthalten alle Informationen, die für die Ausführung verschiedener Netzwerksicherheitsdienste erforderlich sind, wie beispielsweise die Dienste der IP-Schicht (wie Header-Authentifizierung und Payload-Kapselung), Transport- oder Anwendungsschichtdienste oder der Selbstschutz des Verhandlungsverkehrs. ISAKMP definiert Payloads für den Austausch von Schlüsselgenerierungs- und Authentifizierungsdaten. Diese Formate bieten einen konsistenten Rahmen für die Übertragung von Schlüssel- und Authentifizierungsdaten, der unabhängig von der Schlüsselerzeugungstechnik, dem Verschlüsselungsalgorithmus und dem Authentifizierungsmechanismus ist.
ISAKMP unterscheidet sich von Schlüsselaustauschprotokollen, um die Details des Sicherheitsassoziationsmanagements (und des Schlüsselmanagements) sauber von den Details des Schlüsselaustauschs zu trennen. Es kann viele verschiedene Schlüsselaustauschprotokolle geben, jedes mit unterschiedlichen Sicherheitseigenschaften. Es ist jedoch ein gemeinsamer Rahmen erforderlich, um dem Format von SA-Attributen zuzustimmen und um SAs auszuhandeln, zu ändern und zu löschen. ISAKMP dient als dieser gemeinsame Rahmen.
ISAKMP kann über jedes Transportprotokoll implementiert werden. Alle Implementierungen müssen die Sende- und Empfangsfähigkeit für ISAKMP mit UDP auf Port 500 beinhalten.
Implementierung
OpenBSD implementierte ISAKMP erstmals 1998 über seine isakmpd(8) -Software.
Der IPsec- Dienstedienst in Microsoft Windows übernimmt diese Funktionalität.
Das KAME-Projekt implementiert ISAKMP für Linux und die meisten anderen Open-Source- BSDs .
Moderne Cisco- Router implementieren ISAKMP für die VPN-Aushandlung.
Schwachstellen
Durchgesickerte NSA- Präsentationen, die vom Spiegel veröffentlicht wurden , deuten darauf hin, dass ISAKMP auf unbekannte Weise ausgenutzt wird, um IPSec-Verkehr zu entschlüsseln, ebenso wie IKE . Die Forscher, die den Logjam-Angriff entdeckten, geben an, dass das Brechen einer 1024-Bit- Diffie-Hellman-Gruppe 66 % der VPN-Server, 18 % der Top-Millionen HTTPS-Domains und 26 % der SSH-Server zerstören würde, was mit den Lecks übereinstimmt die Forscher.