Ugrás a tartalomhoz

Internet Security Association and Key Management Protocol

A Wikiszótárból, a nyitott szótárból

Angol


Főnév

Internet Security Association and Key Management Protocol (tsz. Internet Security Association and Key Management Protocols)

  1. (informatika)

1. Bevezetés

Az ISAKMP (Internet Security Association and Key Management Protocol) egy szabványos protokoll, amelyet az IP-alapú hálózatokon használnak biztonsági társítások (Security Associations – SA-k) létrehozására, kezelésére és lebontására. Az ISAKMP nem önállóan végzi a kulcscsere folyamatát, hanem egy keretrendszert biztosít, amelyben különböző kulcscsere protokollok (mint az IKE – Internet Key Exchange) működnek.

Az ISAKMP az IPsec (Internet Protocol Security) biztonsági architektúrájának alapvető része, és a hitelesítés, titkosítás, kulcsmenedzsment, valamint a biztonsági paraméterek egyeztetése területén játszik kulcsszerepet.


2. Az ISAKMP célja és szerepe

A biztonságos kommunikáció érdekében az IPsec használja az ISAKMP-t, hogy:

  • Meghatározza, hogyan hozzák létre a Security Association-öket.
  • Támogassa a különféle kulcskezelő protokollokat.
  • Strukturálja a hitelesítési folyamatokat.
  • Automatizálja a kulcscserét és a titkosítási paraméterek egyeztetését.

Fontos megérteni, hogy az ISAKMP nem határozza meg a konkrét algoritmusokat vagy kulcsokat, csupán a folyamat keretét biztosítja, amelyben ezek kiválasztása és kezelése történik.


3. Biztonsági társítás (Security Association – SA)

A biztonsági társítás (SA) egyfajta szerződés a kommunikáló felek között, amely tartalmazza:

  • A titkosítási algoritmust (pl. AES, 3DES).
  • A hitelesítési algoritmust (pl. HMAC-SHA256).
  • A kulcsokat.
  • A protokollokat (ESP vagy AH).
  • A társítás élettartamát.

Az ISAKMP segítségével ezeket az SA-kat hozhatjuk létre és kezelhetjük dinamikusan, automatikusan.


4. Az ISAKMP működési modellje

Az ISAKMP működése két fázisra oszlik:

4.1. Fázis 1 – ISAKMP SA létrehozása

Ebben a fázisban a két fél (pl. két router vagy host) létrehoz egy biztonságos kommunikációs csatornát, amelyet a további kulcscsere és konfigurációs információk cseréjére használnak.

A fázis 1 célja: - Azonosítani a partnereket (hitelesítés). - Titkosított csatorna létrehozása az ISAKMP SA-val.

Kétféle módon történhet: - Main Mode – biztonságosabb, de lassabb (6 üzenetváltás). - Aggressive Mode – gyorsabb, de kevésbé biztonságos (3 üzenetváltás).

4.2. Fázis 2 – IPsec SA-k létrehozása

Miután a biztonságos csatorna létrejött, ezen keresztül zajlik a második fázis, ahol a tényleges IPsec SA-kat hozzák létre. Ez történik általában Quick Mode-ban.

Ekkor egyeztetik: - A konkrét titkosítási és hitelesítési paramétereket. - A forgalom védelmére szolgáló kulcsokat.


5. ISAKMP üzenetszerkezet

Az ISAKMP saját üzenetformátumot használ, amely tartalmazza:

  • Header (fejléc): verzió, típus, üzenetazonosító stb.
  • Payload-ok (adatblokkok):
    • SA payload – a Security Association meghatározása.
    • Proposal payload – konkrét javaslatok titkosításra.
    • Transform payload – algoritmus részletezése.
    • Key Exchange payload – kulcsok cseréje.
    • Identification payload – azonosító információk.
    • Authentication payload – hitelesítési adatok.
    • Notification és Delete – hibakezelés és lebontás.

Az ISAKMP az UDP 500-as portját használja, és ezeken a payload-okon keresztül történik az egyeztetés.


6. ISAKMP és IKE (Internet Key Exchange)

6.1 A kapcsolat

Az IKE az ISAKMP felett fut, és annak keretrendszerét használja, miközben konkrét kulcscsere protokollként működik.

IKE = ISAKMP + Oakley + SKEME

  • ISAKMP biztosítja az SA-kezelési és hitelesítési struktúrát.
  • Oakley definiálja a kulcscsere módjait.
  • SKEME szolgáltat további biztonsági mechanizmusokat.

6.2 IKE verziók

  • IKEv1: az eredeti szabvány, fázisokra osztott (mint fent).
  • IKEv2: modern, biztonságosabb és hatékonyabb verzió, kevesebb üzenetváltással és jobb mobilitással.


7. ISAKMP előnyei

  • Automatizált kulcsmenedzsment: Nem kell manuálisan konfigurálni a kulcsokat minden eszközön.
  • Skálázhatóság: Nagy hálózatokban is könnyen kezelhető.
  • Interoperabilitás: Szabványos, így különböző gyártók eszközei is képesek együttműködni.
  • Biztonság: Támogatja a hitelesítést, titkosítást, integritásvédelmet.


8. ISAKMP problémái, korlátai

  • Komplexitás: Az ISAKMP és az IKE beállítása bonyolult lehet kezdők számára.
  • Támadási felület: Ha nem megfelelően konfigurált, sebezhetőségek léphetnek fel (pl. DoS támadások).
  • IKEv1 elavulása: Az IKEv1/ISAKMP kombinációt egyre inkább kiszorítja az IKEv2.


9. Tipikus alkalmazási példa: Site-to-Site VPN

Két telephely között IPsec VPN-t szeretnénk kialakítani. A routerek az alábbiak szerint működnek együtt:

  1. Router A kezdeményezi az ISAKMP SA létrehozását.
  2. Azonosítás (pl. PSK vagy digitális tanúsítvány).
  3. Biztonságos csatorna létrejön.
  4. Quick Mode során egyeztetik az IPsec SA paramétereket.
  5. Titkosított adatforgalom indul ESP vagy AH protokoll segítségével.


10. Összefoglalás

Az ISAKMP az IPsec biztonsági architektúrájának kulcsfontosságú eleme, amely lehetővé teszi a biztonsági társítások automatizált létrehozását, a kulcscsere biztonságos lebonyolítását, valamint a hitelesítési folyamatokat. Bár maga nem végzi el a kulcscserét, lehetővé teszi más protokollok (pl. IKE) számára, hogy hatékonyan és biztonságosan kezeljék a kapcsolatokat.

A modern hálózatokban az ISAKMP/IKE együttes használata alapvető a VPN-ek (különösen a site-to-site és remote access IPsec VPN-ek) létrehozásában. Az IKEv2 pedig továbbfejleszti ezt a keretet, és jobb teljesítményt, stabilitást, mobilitást biztosít – különösen napjaink mobil- és felhőalapú rendszereiben.


További információk

A lap eredeti címe: „https://hu.wiktionary.org/w/index.php?title=Internet_Security_Association_and_Key_Management_Protocol&oldid=3494404