Diferencia entre revisiones de «Internet key exchange»
Contenido eliminado Contenido añadido
Encriptar es meter algo en una cripta, en castellano ciframos :P |
|||
Línea 22:
Los demonios que corren en el espacio de usuario tienen fácil acceso a la información de configuración (como las direcciones IP de los otros extremos a contactar, las claves y los certificados que se vayan a emplear) contenida en los dispositivos de almacenamiento. Por otro lado, los módulos del kernel pueden procesar eficientemente los paquetes sin sobrecargar el sistema, lo que es muy importante para conseguir un buen rendimiento.
El protocolo IKE usa paquetes [[User Datagram Protocol|UDP]], normalmente a través del puerto 500, y generalmente requiere entre 4 y 6 paquetes con dos o tres turnos para crear una [[Asociación de seguridad]], (SA por sus siglas en inglés) en ambos extremos. La claves negociadas son entregadas a la pila IPsec. Por ejemplo, esta negociación puede contener la clave definida con cifrado AES, información de la dirección IP de los extremos a contactar, puertos a proteger en la comunicación, y tipo de túnel IPsec que se va a crear. La pila IPsec captura esta información en el otro extremo y realiza las operaciones de
=== Fases IKE ===
La negociación IKE está compuesta por dos fases: fase 1 y fase 2.<ref name="The Internet Key Exchange p. 5">"[RFC 2409 The Internet Key Exchange (IKE)", Internet Engineering Task Force (IETF), p. 5</ref>
* El objetivo de la '''primera fase IKE''' es establecer un canal de comunicación seguro usando el algoritmo de intercambio de claves [[Diffie-Hellman]] para generar una clave de [[secreto compartido]] y así
* En la '''segunda fase IKE''', los extremos usan el canal seguro establecido en la primera fase para negociar una Asociación de Seguridad (SA) en nombre de otros servicios como [[IPsec]]. La negociación consiste en un mínimo de dos SAs unidireccionales.<ref>"RFC 4306 Internet Key Exchange (IKEv2) Protocol", Internet Engineering Task Force (IETF), p. 11,33</ref> Phase 2 operates only in Quick Mode.<ref name="The Internet Key Exchange p. 5" />
Línea 53:
* Confiabilidad y administración de estado: IKEv2 usa números de secuencia y acuses de recibo para proporcionar confiabilidad. También provee sistemas de procesamiento de errores y compartición del estado. Se descubrió que IKE podría finalizar la conexión debido a la falta de sistemas que intormen sobre el estado, al estar ambos extremos a la espera de la otra parte para iniciar una acción que nunca se produciría. Se desarrollaron algunas soluciones como [[Dead Peer Detection|Dead-Peer-Detection]], pero no se llegaron a estandarizar. Esto implica que diferentes implementaciones de este tipo de soluciones no eran siempre compatibles entre sí.
* Resistencia al ataque de [[Denial of Service]] (DoS): IKEv2 no realiza procesamiento hasta que determina si el extremo que realiza la petición realmente existe. Esto permite evitar el gasto en procesamiento realizado en
Explicación:
Línea 63:
HostA---------------HostB
Si el Host B recibe una gran cantidad de peticiones de conexión IKE, la respuesta consistirá de un mensaje no
HostA-------------------------------------------------HostB
|