Definición: ¿Qué significa Intercambio de claves de Internet (IKE)?
El intercambio de claves de Internet (IKE) es un protocolo de administración de claves estándar que se utiliza junto con el protocolo estándar de seguridad de protocolo de Internet (IPSec). Proporciona seguridad para las negociaciones de redes privadas virtuales (VPN) y el acceso a la red a hosts aleatorios. También se puede describir como un método para intercambiar claves para cifrado y autenticación a través de un medio no seguro, como Internet.
IKE es un protocolo híbrido basado en:
- ISAKMP (RFC2408): Los protocolos de administración de claves y asociación de seguridad de Internet se utilizan para la negociación y el establecimiento de asociaciones de seguridad. Este protocolo establece una conexión segura entre dos pares IPSec.
- Oakley (RFC2412): este protocolo se utiliza para acuerdos o intercambio de claves. Oakley define el mecanismo que se utiliza para el intercambio de claves en una sesión IKE. El algoritmo predeterminado para el intercambio de claves utilizado por este protocolo es el algoritmo Diffie-Hellman.
- SKEME: este protocolo es otra versión para el intercambio de claves.
IKE mejora IPsec proporcionando características adicionales junto con flexibilidad. Sin embargo, IPsec se puede configurar sin IKE.
IKE tiene muchos beneficios. Elimina la necesidad de especificar manualmente todos los parámetros de seguridad IPSec en ambos pares. Permite al usuario especificar una vida útil particular para la asociación de seguridad IPsec. Además, el cifrado se puede cambiar durante las sesiones de IPsec. Además, permite la autoridad de certificación. Finalmente, permite la autenticación dinámica de pares.
Techinfo explica el intercambio de claves de Internet (IKE)
El IKE funciona en dos pasos. El primer paso establece un canal de comunicación autenticado entre los pares, mediante el uso de algoritmos como el intercambio de claves Diffie-Hellman, que genera una clave compartida para cifrar aún más las comunicaciones IKE. El canal de comunicación formado como resultado del algoritmo es un canal bidireccional. La autenticación del canal se logra mediante el uso de una clave compartida, firmas o cifrado de clave pública.
Hay dos modos de operación para el primer paso: el modo principal, que se utiliza para proteger la identidad de los pares, y el modo agresivo, que se usa cuando la seguridad de la identidad de los pares no es un tema importante. Durante el segundo paso, los pares utilizan el canal de comunicación seguro para establecer negociaciones de seguridad en nombre de otros servicios como IPSec. Estos procedimientos de negociación dan lugar a dos canales unidireccionales de los cuales uno es de entrada y el otro de salida. El modo de operación para el segundo paso es el modo rápido.
IKE proporciona tres métodos diferentes para la autenticación de pares: autenticación mediante un secreto previamente compartido, autenticación mediante nonces encriptados RSA y autenticación mediante firmas RSA. IKE usa las funciones HMAC para garantizar la integridad de una sesión IKE. Cuando la vida útil de una sesión IKE expira, se realiza un nuevo intercambio Diffie-Hellman y se restablece IKE SA.