Lo básico de IKE
Veamos los fundamentos de IKE que todos deberíamos conocer.
IKE (Internet Key Exchange) es una implementación de ISAKMP. Tiene 2 fases:
- IKE Fase 1. En esta primera fase, IKE trabaja sobre el puerto 500/UDP de forma bidireccional. Autentica y protege las identidades de los peers IPsec. Negocia una política SA que tiene que coincidir con los parámetros entre los 2 peers para proteger el intercambio IKE. Genera un Diffie-Hellman autenticado para obtener las claves compartidas. Esa clave se utiliza para formar un túnel cifrado utilizado para proteger los parámetros de la fase 2.
- IKE Fase 2. Aquí IKE utiliza los protocolos 50/ESP y 51/AH y también el puerto 4500/UDP. Maneja parámetros de Asociación de Seguridad IPsec dentro del túnel IKE SA. Establece asociaciones IPsec SA. Renegocia periódicamente durante la vida del túnel. Puede realizar intercambios Diffie-Hellman opcionalmente.
Las fases IKE 1 y 2, tienen dos modos de funcionamiento:
- Main Mode. Utiliza 3 intercambios entre iniciador y respondedor.
- Primer intercambio: Los algoritmos y hashes que se utilizarán para asegurar la comunicación se negociarán sobre una política IKE SA coincidente.
- Segundo intercambio: Utiliza Diffie-Hellman para crear un secreto compartido, utilizado a su vez para crear claves y transferir nonces -números aleatorios enviados al peer, que finalmente los firmará y enviará de vuelta para verificar la identidad.
- Tercer intercambio: Verifica la identidad del par. Se pasa como un valor que coincide con la dirección IP del peer de forma encriptada. El principal obstáculo es generar las asociaciones de seguridad IKE SA entre pares para proporcionar un canal seguro para los intercambios ISAKMP entrantes. IKE SA especifica valores para encriptación, hashing, grupo DH y tiempo de vida de la SA en segundos o kilobytes, además de la clave de encriptación. IKE SA es bidireccional.
- Aggressive Mode. Utiliza menos intercambios con menos paquetes. La debilidad de este modo es que ambos pares han intercambiado información de conexión antes de que se establezca un canal seguro. Es factible husmear y descubrir quién generó la SA. Es mucho más rápido que el modo principal.
Diffie-Hellman es un algoritmo para crear un túnel seguro entre dos pares.
Cuando expira el tiempo de vida, ambas fases se renegocian de nuevo, pero las claves Diffie-Hellman se conservan. Para forzar la renovación de la clave DH podemos utilizar PFS -Perfect Forward Secrecy, que garantiza que cada nueva clave criptográfica no estará relacionada de ninguna manera con la anterior.
En IKE Fase 2 se utilizan 2 protocolos:
- ESP (Encapsulating Security Payload). Protocolo númbero 50.
- AH (Authentication Header). Protocolo númbero 51.
Los 2 pueden trabajar de 2 maneras:
- Modo transporte: Sólo se usa AH/ESP en la carga útil. Sólo bajo el RFC1918 y todos los hosts en la ruta VPN deben tener rutas de origen y destino para todos los paquetes.
- Modo túnel: AH/ESP encapsula todo el paquete. Se utiliza para la comunicación VPN LAN-2-LAN.