Az ISAKMP ( Internet Security Association and Key Management Protocol) az RFC 2408 szabványban meghatározott protokoll biztonsági társulások ( SA ) és kriptográfiai kulcsok internetes környezetben történő létrehozására . Az ISAKMP csak hitelesítési és kulcscsere platformot biztosít, és független kulcscserére szolgál; Az olyan protokollok, mint az Internet Key Exchange és a Kerberized Internet Negotiation of Keys hitelesített kulcsanyagot biztosítanak az ISAKMP-vel való használatra. Például: Az IKE egy protokollt ír le, amely az Oakley részt és a SKEME részt használja az ISAKMP-vel együtt, hogy hitelesített kulcsanyagot szerezzen be az ISAKMP-vel, valamint más biztonsági társításokkal, például AH-val és ESP-vel, az IETF IPsec DOI-hoz [1]
Az ISAKMP eljárásokat határoz meg a kommunikáló partnerek hitelesítésére, biztonsági társítások létrehozására és kezelésére, kulcsgenerálási technikákra, valamint a fenyegetések (például szolgáltatásmegtagadási és visszajátszási támadások) mérséklésére. Alapként [1] az ISAKMP általában az IKE -t használja a kulcscseréhez , bár más módszereket is alkalmaztak, mint például a kulcsok kerberizált internetes egyeztetése . Ezzel a protokollal ideiglenes SA jön létre; később új kulcsot generáltak.
Az ISAKMP eljárásokat és csomagformátumokat határoz meg a biztonsági társítások létrehozásához, egyeztetéséhez, módosításához és törléséhez. Az SA-k tartalmazzák az összes olyan információt, amely a különféle hálózati biztonsági szolgáltatások, például az IP-szintű szolgáltatások (például a fejléc-hitelesítés és a hasznos adatok beágyazása), a szállítási vagy alkalmazási réteg szolgáltatásai vagy a tárgyalási forgalom önvédelme végrehajtásához szükséges. Az ISAKMP hasznos terheket határoz meg a kulcsgenerálási és hitelesítési adatok cseréjéhez. Ezek a formátumok egységes szerkezetet biztosítanak a kulcs- és hitelesítési adatok átadásához, amely független a kulcsgenerálási módszertől, a titkosítási algoritmustól és a hitelesítési mechanizmustól.
Az ISAKMP abban különbözik a kulcscsere protokolloktól , hogy egyértelműen elválasztja a biztonsági asszociáció kezelésének (és kulcskezelésének) részleteit a kulcscsere részleteitől. Számos különböző kulcscsere-protokoll létezik, mindegyik más-más biztonsági tulajdonsággal. Az SA-attribútumok formátumának egyeztetéséhez, valamint az SA-k egyeztetéséhez, módosításához és törléséhez azonban közös struktúrára van szükség. Ennek az általános keretnek az ISAKMP szolgál.
Az ISAKMP bármilyen szállítási protokollon keresztül megvalósítható. Minden megvalósításnak tartalmaznia KELL az ISAKMP küldésének és fogadásának képességét UDP használatával az 500-as porton.
Az OpenBSD először 1998-ban implementálta az ISAKMP-t az isakmpd(8) szoftverrel .
A Microsoft Windows IPsec - szolgáltatásai kezelik ezt a funkciót.
A KAME projekt megvalósítja az ISAKMP-t Linuxra és a legtöbb nyílt forráskódú BSD -re.
A modern Cisco útválasztók ISAKMP-t használnak a VPN-egyeztetéshez.
A Der Spiegel által kiszivárgott NSA -prezentációk azt mutatják, hogy az ISAKMP-t ismeretlen módon használják az IPSec-forgalom visszafejtésére, akárcsak az IKE -t . [2] A kutatók azt találták, hogy egy 1024 bites Diffie-Hellman csoportot feltörő Logjam támadás a VPN-kiszolgálók 66%-át, az első millió HTTPS-tartomány 18%-át és az SSH-kiszolgálók 26%-át tönkreteszi, összhangban a kutatók állításaival. , összhangban a szivárgással. [3]