[Enciclopedia Online Gratuita] Diccionario de Internet y Tecnologías de la Información y la Comunicación (TIC):
ıllı Internet key exchange wiki: info, historia y vídeos
La información contenida en esta web debe ser considerada como información general, de carácter formativo, educativo o divulgativo, y no puede ser utilizada o interpretada como consejo o diagnótico médico, psicológico o de ningún otro tipo. Es posible que algunos datos mostrados no esten actualizados. Por ello, en caso de duda lo recomentable es consultar a un experto cualificado.
- Detalles
- Categoría: INTERNET
Internet key exchange
IKE fue definido por vez primera por el IETF en el mes de noviembre de mil novecientos noventa y ocho en los RFC dos mil cuatrocientos siete, RFC dos mil cuatrocientos ocho, y RFC dos mil cuatrocientos nueve. Se desarrolló una segunda versión de IKE (IKEv2) en el último mes del año de dos mil cinco, publicada en el RFC cuatro mil trescientos seis. IKEv2 fue ampliada más tarde en los RFCs cuatro mil trescientos uno (Security Architecture for the Internet Protocol) y RFC cuatro mil trescientos nueve (Using AES CCM Mode with IPsec ESP). Conforme van brotando nuevas necesidades en el desarrollo del protocolo, se marchan publicando más RFCs con actualizaciones. La Sociedad Internet (ISOC), organización que abarca a la IETF, sostiene los derechos de propiedad intelectual de estos estándares, publicándolos como de libre predisposición para la comunidad. La mayoría de las implementaciones de IPsec consisten en un diablo IKE que corre en el espacio de usuario y una pila IPsec en el kernel que procesa los bultos IP. Los diablos que corren en el espacio de usuario tienen simple acceso a la información de configuración (como las direcciones IP de los otros extremos a contactar, las claves y los certificados que se vayan a emplear) contenida en los dispositivos de almacenaje. Por otra parte, los módulos del kernel pueden procesar eficazmente los bultos sin sobrecargar el sistema, lo que es fundamental para lograr un buen desempeño. El protocolo IKE utiliza bultos UDP, generalmente a través del puerto quinientos, y por norma general requiere entre cuatro y seis bultos con 2 o bien 3 turnos para crear una Asociación de seguridad, (sociedad anónima por sus iniciales en inglés) en los dos extremos. La claves negociadas son entregadas a la pila IPsec. Por poner un ejemplo, esta negociación puede contener la clave definida con cifrado AES, información de la dirección IP de los extremos a contactar, puertos a resguardar en la comunicación, y tipo de túnel IPsec que se creará. La pila IPsec atrapa esta información en el otro extremo y efectúa las operaciones de cifrado/descifrado. La negociación IKE está compuesta por 2 fases: fase 1 y fase dos. Originalmente IKE tenía numerosas opciones de configuración, mas carecía de sencillez general para la negociación automática en los ambientes donde se incorporaba de forma universal. De esta manera, los dos extremos habían de estar conforme en incorporar el mismo género de asociación de seguridad (S.A.) (factor a factor) o bien la conexión no se establecería. Se agregaba a este inconveniente la complejidad de interpretar la salida de depuración (debug), caso de que existiera. Las especificaciones de IKE estaban abiertas a diferentes interpretaciones, lo que se interpretaba como fallos en su diseño (Dead-Peer-Detection es un caso), provocando que diferentes implementaciones de IKE no fuesen compatibles entre sí, haciendo que no fuese posible establecer una asociación de seguridad en dependencia de las opciones que se escogieran, si bien los dos extremos apareciesen como adecuadamente configurados. La necesidad de una revisión del protocolo IKE fue incorporada en el apéndice A del RFC cuatro mil trescientos seis. Los próximos inconvenientes fueron detallados: Explicación: Supongamos que el HostA tiene un spi A y el HostB tiene un spi B. Escenario: Si el Host B recibe un sinnúmero de solicitudes de conexión IKE, la contestación va a consistir en un mensaje no cifrado del ike_sa_init con un mensake de notificación tipo cookie. El extremo que ha contestado la conexión aguardará una solicitud de ike_sa_init con esa cookie en el mensaje de contestación. Esto se efectúa para cerciorarse de que el iniciador de la conexión es verdaderamente capaz de manejar una contestación desde el extremo que responde. Existen múltiples implementaciones libres de IPsec con capacidades de negociación IKE. En GNU/Linux, Openswan y strongSwan las distintas implementaciones incluyen un diablo IKE llamado pluto, que puede establecer SAs a las pilas IPsec del kernel KLIPS o bien NETKEY. NETKEY es la implementación nativa de IPsec en el kernel veintiseis de Linux. Las diferentes variedades de BSD asimismo incorporan implementaciones de los diablos IPsec y también IKE y, lo que es más esencial, un framework (OpenBSD Cryptographic Framework, OCF), que provee de soporte criptográfico fácil cryptographic accelerators. OCF ha sido últimamente portado a GNU/Linux. IKE está soportado como una parte de la implementación de IPsec en Windows dos mil, Windows XP, Windows Server dos mil tres, Windows Vista and Windows Server dos mil ocho. La implementación de ISAKMP/IKE fue desarrollada juntamente por Cisco y Microsoft. MicrosoftWindows siete y Windows Server dos mil ocho R2 aguantan de manera plena IKEv2 (RFC cuatro mil trescientos seis) de la misma manera que MOBIKE (RFC cuatro mil quinientos cincuenta y cinco) mediante la característica VPN Reconnect (asimismo famosa como Agile VPN). Diferentes fabricantes de equipos de comunicación han creado sus diablos IKE (y también implementaciones IPsec), o bien diplomado a terceros. Las siguientes implementaciones de IKEv2 están disponibles:
Problemas de IKE
Mejoras introducidas con IKEv2
HostA---------------HostB
HostA-------------------------------------------------HostB HDR(A,0), sai1, kei,Ni-----------------------------> <----------------------------HDR(A,0),N(cookie) HDR(A,0),N(cookie), sai1, kei,Ni-------------------> <--------------------------HDR(A,B), SAr1, ker, Nr
Implementaciones libres
Implementaciones propietarias