¿Cuál es el intercambio de claves de Internet?
El intercambio de claves de Internet (IKE) es un conjunto de protocolos de soporte creados por el Grupo de Tarea de Ingeniería de Internet (IETF) y se usa con los estándares de seguridad del protocolo de Internet (IPSEC) para proporcionar comunicaciones seguras entre dos dispositivos o pares, a través de una red. Como protocolo, IKE se puede usar en varias aplicaciones de software. Un ejemplo común es configurar una red privada virtual segura (VPN). Si bien estándar en prácticamente todos los sistemas operativos de computadora modernos y equipos de red, gran parte de lo que hace el intercambio de claves de Internet está oculto a la vista del usuario promedio.
Los protocolos en IKE establecen lo que se llama Asociación de Seguridad (SA) entre dos o más compañeros sobre IPSEC, lo que se requiere para cualquier comunicación segura a través de IPSEC. El SA define el algoritmo criptográfico que se utiliza en la comunicación, las claves de cifrado y sus fechas de vencimiento; Todo esto entra en la base de datos de la Asociación de Seguridad de cada par (SAD). Mientras que IPSEC puede tener su SA configurado manualmente,El intercambio clave de Internet negocia y establece las asociaciones de seguridad entre los pares automáticamente, incluida la capacidad de crear la suya.
El intercambio de claves de Internet se conoce como protocolo híbrido. IKE hace uso de un marco de protocolo conocido como Asociación de Seguridad de Internet y Protocolo de gestión de claves (ISAKMP). ISAKMP proporciona a IKE la capacidad de establecer la SA, y hace los trabajos de definir el formato de la carga útil de datos y decidir sobre el protocolo de intercambio de claves que se utilizará. ISAKMP es capaz de utilizar varios métodos para intercambiar claves, pero su implementación en IKE utiliza aspectos de dos. La mayor parte del proceso de intercambio de claves utiliza el método del Protocolo de determinación de clave de Oakley (Oakley), que define los diversos modos, pero IKE también utiliza parte del método de mecanismo de intercambio de claves de origen (SKEME), que permite el cifrado de claves públicas y tiene la capacidad de actualizar las claves rápidamente./P>
Cuando los compañeros desean comunicarse de forma segura, envían lo que se llama "tráfico interesante" entre sí. El tráfico interesante son mensajes que se adhieren a una política de IPSEC que se ha establecido en los compañeros. Un ejemplo de esta política que se encuentra en los firewalls y los enrutadores se llama lista de acceso. La lista de acceso recibe una política de criptografía por la cual ciertas declaraciones dentro de la política determinan si los datos específicos enviados a través de la conexión deben estar encriptados o no. Una vez que los pares interesados en la comunicación segura han igualado una política de seguridad IPSec entre sí, comienza el proceso de intercambio de claves de Internet.
.El proceso IKE tiene lugar en las fases. Muchas conexiones seguras comienzan en un estado no garantizado, por lo que la primera fase negocia cómo los dos pares continuarán el proceso de comunicación segura. Ike primero autentica la identidad de los pares y luego asegura sus identidades determinando qué algoritmos de seguridad usarán ambos compañeros. Usando el Diffie-Hellman PProtocolo de criptografía de clave UBLIC, que es capaz de crear claves de coincidencia a través de una red sin protección, el intercambio de claves de Internet crea claves de sesión. IKE termina la Fase 1 creando una conexión segura, un túnel, entre los pares que se utilizarán en la Fase 2.
Cuando IKE ingresa a la Fase 2, los pares usan el nuevo IKE SA para configurar los protocolos IPsec que usarán durante el resto de su conexión. Se establece un encabezado de autenticación (AH) que verificará que los mensajes enviados se reciban intactos. Los paquetes también deben estar encriptados, por lo que IPSEC luego usa el Protocolo de Seguridad Encapsulante (ESP) para cifrar los paquetes, manteniéndolos a salvo de los ojos indistrados. El AH se calcula en función del contenido del paquete, y el paquete está encriptado, por lo que los paquetes están asegurados de cualquier persona que intente reemplazar los paquetes con los falsos o leer el contenido de un paquete.
IKE también intercambia nonces criptográficos durante la fase 2. Un nonce es un número o cadena que se usa solo una vez.El Nonce es utilizado por un compañero si necesita crear una nueva clave secreta o evitar que un atacante genere SAS falso, evitando lo que se llama un ataque de repetición.
Los beneficios de un enfoque múltiple para IKE es que al usar la Fase 1 SA, cualquiera de los pares puede iniciar una Fase 2 en cualquier momento para volver a negociar una nueva SA para garantizar que la comunicación se mantenga segura. Después de que el intercambio de claves de Internet complete sus fases, se crea un túnel IPsec para el intercambio de información. Los paquetes enviados a través del túnel están encriptados y descifrados de acuerdo con el SAS establecido durante la Fase 2. Cuando termina, el túnel termina, ya sea expirado en función de un límite de tiempo predeterminado, o después de que se haya transferido una cierta cantidad de datos. Por supuesto, las negociaciones adicionales de la Fase 2 de IKE pueden mantener el túnel abierto o, alternativamente, comenzar una nueva negociación de fase 1 y fase 2 para establecer un túnel nuevo y seguro.