Wikipedia

Diferencia entre revisiones de «Internet key exchange»

Explorar historial interactivamente
← Ir a diferencia anteriorIr a siguiente diferencia →
Contenido eliminado Contenido añadido
VisualWikitexto
Encriptar es meter algo en una cripta, en castellano ciframos :P
Línea 22:
Los demonios que corren en el espacio de usuario tienen fácil acceso a la información de configuración (como las direcciones IP de los otros extremos a contactar, las claves y los certificados que se vayan a emplear) contenida en los dispositivos de almacenamiento. Por otro lado, los módulos del kernel pueden procesar eficientemente los paquetes sin sobrecargar el sistema, lo que es muy importante para conseguir un buen rendimiento.
El protocolo IKE usa paquetes [[User Datagram Protocol|UDP]], normalmente a través del puerto 500, y generalmente requiere entre 4 y 6 paquetes con dos o tres turnos para crear una [[Asociación de seguridad]], (SA por sus siglas en inglés) en ambos extremos. La claves negociadas son entregadas a la pila IPsec. Por ejemplo, esta negociación puede contener la clave definida con cifrado AES, información de la dirección IP de los extremos a contactar, puertos a proteger en la comunicación, y tipo de túnel IPsec que se va a crear. La pila IPsec captura esta información en el otro extremo y realiza las operaciones de encriptadocifrado/desencriptadodescifrado.
 
=== Fases IKE ===
La negociación IKE está compuesta por dos fases: fase 1 y fase 2.<ref name="The Internet Key Exchange p. 5">"[RFC 2409 The Internet Key Exchange (IKE)", Internet Engineering Task Force (IETF), p. 5</ref>
 
* El objetivo de la '''primera fase IKE''' es establecer un canal de comunicación seguro usando el algoritmo de intercambio de claves [[Diffie-Hellman]] para generar una clave de [[secreto compartido]] y así encriptarcifrar la comunicación IKE. Esta negociación establece una única SA [[ISAKMP]] [[Security Association]] (SA).<ref>"[RFC 2409 The Internet Key Exchange (IKE)", Internet Engineering Task Force (IETF), p. 6</ref> bidireccional. La autenticación puede ser realizada usando tanto una clave compartida (pre-shared key) ([[secreto compartido]]), firmas digitales, o encriptacióncifrado de clave pública.<ref>"[RFC 2409 The Internet Key Exchange (IKE)", Internet Engineering Task Force (IETF), p. 10-16</ref> La fase 1 opera tanto en modo principal como agresivo. El modo principal protege la identidad de los extremos, mientras que el modo agresivo no lo hace.<ref name="The Internet Key Exchange p. 5" />
 
* En la '''segunda fase IKE''', los extremos usan el canal seguro establecido en la primera fase para negociar una Asociación de Seguridad (SA) en nombre de otros servicios como [[IPsec]]. La negociación consiste en un mínimo de dos SAs unidireccionales.<ref>"RFC 4306 Internet Key Exchange (IKEv2) Protocol", Internet Engineering Task Force (IETF), p. 11,33</ref> Phase 2 operates only in Quick Mode.<ref name="The Internet Key Exchange p. 5" />
Línea 53:
* Confiabilidad y administración de estado: IKEv2 usa números de secuencia y acuses de recibo para proporcionar confiabilidad. También provee sistemas de procesamiento de errores y compartición del estado. Se descubrió que IKE podría finalizar la conexión debido a la falta de sistemas que intormen sobre el estado, al estar ambos extremos a la espera de la otra parte para iniciar una acción que nunca se produciría. Se desarrollaron algunas soluciones como [[Dead Peer Detection|Dead-Peer-Detection]], pero no se llegaron a estandarizar. Esto implica que diferentes implementaciones de este tipo de soluciones no eran siempre compatibles entre sí.
 
* Resistencia al ataque de [[Denial of Service]] (DoS): IKEv2 no realiza procesamiento hasta que determina si el extremo que realiza la petición realmente existe. Esto permite evitar el gasto en procesamiento realizado en encriptacióncifrado/desencriptacióndescifrado que se producía al sufrir un ataque desde IP falsas.[[IP address spoofing|spoofed]] locations.
 
Explicación:
Línea 63:
HostA---------------HostB
 
Si el Host B recibe una gran cantidad de peticiones de conexión IKE, la respuesta consistirá de un mensaje no encriptadocifrado del ike_sa_init con un mensake de notificación tipo cookie. El extremo que ha respondido la conexión esperará una petición de ike_sa_init con esa cookie en el mensaje de respuesta. Esto se realiza para asegurarse de que el iniciador de la conexión es realmente capaz de manejar una respuesta desde el extremo que responde.
 
HostA-------------------------------------------------HostB
Obtenido de «https://es.wikipedia.org/wiki/Internet_key_exchange»