ISAKMP ( Internet Security Association and Key Management Protocol) es un protocolo definido en RFC 2408 para establecer asociaciones de seguridad ( SA ) y claves criptográficas en el entorno de Internet . ISAKMP solo proporciona una plataforma para la autenticación y el intercambio de claves y está destinado al intercambio de claves independiente; Los protocolos como Intercambio de claves de Internet y Negociación de claves de Internet Kerberizada proporcionan material de clave autenticado para usar con ISAKMP. Por ejemplo: IKE describe un protocolo que usa la parte Oakley y la parte SKEME junto con ISAKMP para obtener material de clave autenticado para usar con ISAKMP, así como otras asociaciones de seguridad como AH y ESP, para IETF IPsec DOI [1]
ISAKMP define procedimientos para autenticar a un par que se comunica, crear y administrar asociaciones de seguridad , técnicas de generación de claves y mitigar amenazas (como denegación de servicio y ataques de reproducción). Como base [1] , ISAKMP suele utilizar IKE para el intercambio de claves, aunque se han implementado otros métodos, como la negociación de claves de Internet Kerberizada . Se forma una SA provisional usando este protocolo; más tarde se creó una nueva clave.
ISAKMP define procedimientos y formatos de paquetes para establecer, negociar, modificar y eliminar asociaciones de seguridad. Las SA contienen toda la información necesaria para realizar varios servicios de seguridad de red, como servicios de capa IP (como autenticación de encabezado y encapsulación de carga útil), servicios de capa de transporte o aplicación, o autoprotección de tráfico de negociación. ISAKMP define cargas útiles para el intercambio de datos de autenticación y generación de claves. Estos formatos proporcionan una estructura coherente para pasar la clave y los datos de autenticación que es independiente del método de generación de claves, el algoritmo de cifrado y el mecanismo de autenticación.
ISAKMP difiere de los protocolos de intercambio de claves para separar claramente los detalles de la gestión de asociaciones de seguridad (y la gestión de claves) de los detalles del intercambio de claves. Hay muchos protocolos de intercambio de claves diferentes, cada uno con diferentes propiedades de seguridad. Sin embargo, se requiere una estructura común para negociar el formato de los atributos de SA y para negociar, modificar y eliminar SA. ISAKMP sirve como este marco general.
ISAKMP se puede implementar sobre cualquier protocolo de transporte. Todas las implementaciones DEBEN incluir la capacidad de enviar y recibir para ISAKMP usando UDP en el puerto 500.
OpenBSD implementó ISAKMP por primera vez en 1998 con el software isakmpd(8) .
Servicios IPsec en Microsoft Windows maneja esta funcionalidad.
El proyecto KAME implementa ISAKMP para Linux y la mayoría de los demás BSD de código abierto .
Los enrutadores Cisco modernos usan ISAKMP para la negociación de VPN.
Las presentaciones filtradas de la NSA emitidas por Der Spiegel indican que ISAKMP se está utilizando de una manera desconocida para descifrar el tráfico IPSec, al igual que IKE . [2] Los investigadores descubrieron que un estado de ataque Logjam que rompe un grupo Diffie-Hellman de 1024 bits rompería el 66 % de los servidores VPN, el 18 % del primer millón de dominios HTTPS y el 26 % de los servidores SSH, de acuerdo con lo que afirman los investigadores. , en consonancia con las filtraciones. [3]