Giao thức Internet Key Exchange (IKE) trong VPN -

1. Khái niệm IKE

Là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bao lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “thỏa thuận” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.

SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA. Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa của các attacker. IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.

+ ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA

+ Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật. Giao thức IKE dùng UDP port 500.

2. Đặc tính của IKE

Giao thức IKE có các đặc tính như sau:

+ Tự động làm mới lại chìa khóa.

+ Chống lại các cuộc tấn công làm nghẽn mạch như tấn công từ chối dịch vụ DoS (Denial-of-Service).

+ Sử dụng chữ ký số.

+ Dùng chung khóa.

+ Cung cấp những phương tiện cho hai bên về sự đồng ý những giao thức, thuật toán và những chìa khóa để sử dụng.

+ Đảm bảo trao đổi khóa đến đúng người dùng.

+ Quản lý những chìa khóa sau khi được chấp nhận.

+ Đảm bảo sự điều khiển và trao đổi khóa an toàn.

+ Cho phép sự chứng thực động giữa các đối tượng ngang hàng.

3. Tiến trình trao đổi dữ liệu qua IPSec VPN

- Một trong 2 bên khởi tạo

- Thiết lập kết nối điều khiển: ISAKMP/IKE Phase 1:

+ Các chính sách trao đổi khóa

+ Diffie-Hellman

+ Xác thực thiết bị và xác thực người dùng

- ISAKMP/IKE Phase 2: thỏa thuận các tham số thiết lập kết nối bảo mật để truyền dữ liệu

- Trao đổi dữ liệu

- Làm mới các kết nối nếu quá thời gian quy định cho 1 phiên

4. Các quá trình của IKE

Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP. Quá trình hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, cả hai phase này nhằm thiết lập kênh truyền an toàn giữa hai điểm. Ngoài phase 1 và phase 2 còn có phase 1.5

Hình 2.14 Sơ đồ hoạt động của IKE

Sơ đồ hoạt động của IKE

IKE phase 1

IKE phase 1 đây là giai đoạn bắt buộc phải có. Phase này thực hiện việc xác thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa hai bên gọi là SA, SA trong pha này gọi là SA ISAKMP hay SA IKE. Pha này sử dụng một trong hai mode để thiết lập SA: chế độ chính thức (main mode) và chế độ tích cực (aggressive mode) Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:

+ Thuật toán mã hóa: DES, 3DES, AES

+ Thuật toán hash: MD5, SHA

+ Phương pháp xác thực: Preshare-key, RSA

+ Nhóm khóa Diffie-Hellman

Main mode:

sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau.

+ Hai message đầu dùng để thỏa thuận các thông số của chính sách bảo mật.

+ Hai message tiếp theo trao đổi khóa Diffie-Hellman.

+ Hai message cuối cùng thực hiện xác thực giữa các thiết bị.

Hình 2.15 Main mode

Main mode

Aggressive mode:

Sử dụng 3 message.

+ Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman.

+ Message thứ hai sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và xác thực bên nhận.

+ Message cuối cùng sẽ xác thực bên vừa gửi.

Hình 2.16 Aggressive mode

Aggressive mode

IKE phase 2

IKE phase 2 đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Quá trình thỏa thuận các thông số ở phase 2 là để thiết lập SA IPSec dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2. Các thông số mà Quick mode thỏa thuận trong phase 2:

+ Giao thức IPSec: ESP hoặc AH.

+ IPSec mode: Tunnel hoặc transport.

+ IPSec SA lifetime: dùng để thỏa thuận lại SA IPSec sau một khoảng thời gian mặc định hoặc được chỉ định.

+ Trao đổi khóa Diffie-Hellman.

SA IPSec của phase 2 hoàn toàn khác với SA IKE ở phase 1, SA IKE chứa các thông số để tạo nên kênh truyền bảo mật, còn SA IPSec chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode.

IKE phase 1.5

Là một giai đoạn IKE không bắt buộc. Giai đoạn 1.5 cung cấp thêm một lớp xác thực, được gọi là Xauth hoặc xác thực Extended. Xác thực IPsec được cung cấp trong phase 1 xác thực các thiết bị hoặc thiết bị đầu cuối sử dụng để thiết lập kết nối IPsec. Xauth bắt người sử dụng phải xác thực trước khi sử dụng các kết nối IPsec.

Trần Công Hiếu – VnPro

Thông tin khác

» Dữ liệu ngày 2/11/2017 (03.11.2017)
» Dữ liệu ngày 3/11/2017 (03.11.2017)
» Các loại địa chỉ IPv6 đặc biệt và cấu trúc của IPv6 (25.10.2017)
» Thiết lập quan hệ láng giềng trong BGP (25.10.2017)
» Quá trình roaming layer 3 trong wireless (25.10.2017)
» Roaming trong wireless là gì? Quá trình roaming layer 2 xảy ra như thế nào? (24.10.2017)
» Địa chỉ Anycast và Multicast trong IPv6 (24.10.2017)
» Sơ lược về giao thức định tuyến BGP (24.10.2017)