IPsec. Volumen IV : IKE (Intercambio de Claves en Internet)

Escrito por Sergio De Luz
Redes
0

Hoy vamos a ver lo que es IKE, el protocolo de intercambio de claves en internet.

Este protocolo se utiliza para generar y administrar las claves necesarias para establecer las conexiones AH (Cabecera de autenticación) y ESP (Carga de Seguridad Encapsulada).

Los dos o más participantes de la conexión IPsec deberán acordar de alguna manera, los tipos de cifrados y los algoritmos de autenticación para poder establecer la conexión de una forma segura.

Esta configuración se podrá hacer de forma manual a ambos extremos del canal, o a través de un protocolo (el protocolo IKE) para que se encargue de la negociación automática de los participantes (SA = Asociación de Seguridad).

El protocolo IKE no sólo se encarga de la gestión y administración de las claves sino también del establecimiento de la conexión entre los participantes correspondientes. IKE no sólo está en IPsec sino que puede ser usado en los distintos algoritmos de enrutamiento como OSPF o RIP.

Fases de la negociación IKE

– Establecimiento del canal seguro usando un algoritmo asimétrico de intercambio de claves como Diffie-Hellman para cifrar la comunicación IKE. Esta negociación se realiza mediante un único SA bidireccional. La autenticación puede ser mediante PSK (clave compartida) o con otros métodos como firmas digitales, o cifrados de clave pública.

– Usando el canal seguro que se ha creado, se negociará la asociación de seguridad de IPsec (u otros servicios).

Algunas características de IKE

– Compatibilidad con NAT transversal, aunque uno o los dos participantes estén detrás de una NAT, la conexión se podrá realizar.

– Utilización de números de secuencia y ACK’s para proporcionar confiabilidad, también incluye sistema de procesamiento de errores

– Resistente a ataques de denegación de servicio. IKE no realiza ninguna acción hasta que determina si el extremo que realiza la petición realmente existe, de esta forma se protege contra ataques desde direcciones IP faltas.

Hasta aquí hemos llegado con esta pequeña explicación de IKE.