Chương IV: Quản lý khóa với IKE trong Ipsec

4.1. Tổng quan về quản lý khóa

IKE hoặc trao đổi khóa Internet là giao thức chịu trách nhiệm thương lượng các đặc tính của
đường hầm IPsec giữa hai IPsec ngang hàng. Các trách nhiệm của IKE trong giao thức IPsec
bao gồm:
• Thương lượng các tham số giao thức
• Trao đổi khóa công khai
• Xác thực cả hai bên
• Quản lý chìa khóa sau khi trao đổi
IKE giải quyết các vấn đề về triển khai IPsec thủ công và không thể thay đổi quy mô bằng
cách tự động hóa toàn bộ quy trình trao đổi khóa. Đây là một trong những yêu cầu quan trọng
của Ipsec
IKE, giống như IPsec, cũng là sự kết hợp của ba giao thức khác nhau
• SKEME — Cung cấp cơ chế sử dụng mã hóa khóa công khai cho mục đích xác thực.
• Oakley — Cung cấp một cơ chế dựa trên chế độ để đến một khóa mã hóa giữa hai thiết bị
ngang hàng sử dụng IPsec.
• ISAKMP — Xác định kiến trúc để trao đổi tin nhắn, bao gồm các định dạng gói và chuyển
đổi trạng thái giữa hai thiết bị Ipsec ngang hàng.
IKE kết hợp ba giao thức này trong một khuôn khổ để cung cấp cho IPsec các tiện ích vừa
thảo luận. Hình 13-3 cho thấy ba thành phần chính này của IKE

IKE được định nghĩa là một tiêu chuẩn trong RFC 2409. Mặc dù IKE cung cấp rất nhiều chức
năng cho giao thức IPsec, nhưng một số thiếu sót trong cấu trúc giao thức gây khó khăn cho
việc triển khai mã và mở rộng quy mô cho những thách thức mới. Công việc đang được tiến
hành để cải thiện hoạt động của giao thức IKE và việc chuẩn hóa lại nó theo một định dạng
được cải thiện. Đây được gọi là sáng kiến “son-of-IKE” hoặc IKE v2.
IKE là một giao thức hai pha. Một đường hầm IPsec được thiết lập giữa hai đồng nghiệp
thông qua chuỗi sự kiện sau:
Bước 1 Lưu lượng truy cập thú vị được nhận hoặc tạo bởi một trong các đồng nghiệp IPsec
trên giao diện đã được định cấu hình để bắt đầu phiên IPsec cho lưu lượng này.
Bước 2 Chế độ chính hoặc chế độ tích cực đàm phán sử dụng IKE dẫn đến việc tạo ra Hiệp
hội bảo mật IKE (SA) giữa hai đồng nghiệp IPsec.
Bước 3 Đàm phán chế độ nhanh bằng IKE dẫn đến việc tạo ra hai IPsec SA giữa hai IPsec
ngang hàng.
Bước 4 Dữ liệu bắt đầu truyền qua một đường hầm được mã hóa bằng kỹ thuật đóng gói ESP
hoặc AH (hoặc cả hai)
Dựa trên Bước 2 và 3, bạn có thể thấy rằng IKE là một giao thức hai pha. Giai đoạn 1 được
hoàn thành bằng cách sử dụng chế độ chính hoặc trao đổi chế độ tích cực giữa các đồng
nghiệp và Giai đoạn 2 được hoàn thành bằng cách sử dụng trao đổi chế độ nhanh.
Danh sách này cho thấy cách IKE hoạt động trong cơ chế hai giai đoạn:
Bước 1 Trong trao đổi Giai đoạn 1, các đồng nghiệp thương lượng một kênh an toàn, được
xác thực để giao tiếp. Chế độ chính hoặc chế độ tích cực hoàn thành trao đổi Giai đoạn I.
Bước 2 Trong trao đổi Giai đoạn 2, các hiệp hội bảo mật được thương lượng thay mặt cho các
dịch vụ IPsec. Chế độ nhanh hoàn thành trao đổi Giai đoạn II. Trao đổi chế độ chính diễn ra
thông qua việc trao đổi tổng cộng sáu thông điệp giữa hai đồng cấp IPsec. Nếu chế độ tích cực
được sử dụng, chỉ có ba thông báo hoàn thành Giai đoạn 1 của quá trình trao đổi. Trao đổi chế
độ nhanh được thực hiện bằng cách sử dụng thêm ba thông báo được trao đổi giữa hai đồng
nghiệp Ipsec
Các mục tiêu chính của chế độ chính (hoặc chế độ tích cực) là
• Đồng ý về một tập hợp các tham số sẽ được sử dụng để xác thực hai đồng nghiệp và mã hóa
một phần của chế độ chính và tất cả trao đổi chế độ nhanh. Không có chế độ tích cực nào
được mã hóa nếu nó được sử dụng làm phương pháp thương lượng.
• Xác thực hai đồng nghiệp với nhau.
• Tạo các khóa có thể được sử dụng để tạo tài liệu khóa để mã hóa dữ liệu thực tế ngay sau
khi hoàn tất các cuộc đàm phán.
Tất cả thông tin được thương lượng ở chế độ chính hoặc chế độ tích cực, bao gồm các khóa
sau này được sử dụng để tạo khóa mã hóa dữ liệu, được lưu trữ dưới dạng liên kết bảo mật
IKE hoặc ISAKMP (SA). Hai IPsec ngang hàng bất kỳ chỉ có một liên kết bảo mật ISAKMP
giữa chúng.
Mục tiêu của Chế độ nhanh
Vai trò chính của chế độ nhanh là cho phép hai đồng nghiệp đồng ý về một tập hợp các thuộc
tính để tạo các liên kết bảo mật IPsec sẽ được sử dụng để mã hóa (trong trường hợp là ESP)
dữ liệu giữa hai máy chủ. Ngoài ra, trong trường hợp PFS (Perfect Forward Secrecy, mà bạn
sẽ đọc ở phần sau), chế độ nhanh có trách nhiệm thực hiện lại trao đổi Diffie-Hellman (DH)
để tài liệu khóa mới có sẵn trước khi tạo khóa mã hóa dữ liệu IPsec . Phần tiếp theo phân tích
cách IKE được sử dụng để thương lượng các tham số IPsec giữa các đồng nghiệp IPsec bằng
cách sử dụng chế độ chính (hoặc tích cực) và nhanh
Đàm phán IPsec Sử dụng Giao thức IKE
IKE thương lượng các đường hầm IPsec giữa hai IPsec ngang hàng. Thương lượng này có thể
được thực hiện bằng cách sử dụng kết hợp trao đổi chế độ chính và chế độ nhanh hoặc kết
hợp giữa chế độ tích cực và trao đổi chế độ nhanh. Phần này xem xét các gói tin và kiểu tin
nhắn khác nhau được sử dụng trong các cuộc trao đổi này để thực hiện thương lượng. Chúng
ta sẽ xem xét ba loại đàm phán mà IKE thực hiện:
• Chế độ chính sử dụng xác thực khóa chia sẻ trước, sau đó là đàm phán chế độ nhanh
• Chế độ chính sử dụng xác thực chữ ký số, sau đó là đàm phán chế độ nhanh
• Chế độ tích cực sử dụng xác thực khóa chia sẻ trước, theo sau là đàm phán chế độ nhanh
Ngoài các loại này, các loại đàm phán sau cũng có thể diễn ra:
• Chế độ chính sử dụng xác thực không mã hóa được mã hóa, theo sau là đàm phán chế độ
nhanh
• Chế độ tích cực sử dụng xác thực chữ ký số, sau đó là đàm phán chế độ nhanh
Tuy nhiên, chúng tôi sẽ không đi vào chi tiết của hai kiểu cuối cùng vì ba kiểu đầu tiên cho
đến nay là những hoán vị phổ biến nhất được sử dụng. Chúng tôi sẽ tập trung vào các loại
đàm phán được sử dụng phổ biến nhất để giúp bạn hiểu rõ hơn
Chế độ chính sử dụng xác thực khóa chia sẻ trước Tiếp theo là đàm phán chế độ nhanh
Như đã nêu trước đó, thương lượng này diễn ra với việc trao đổi tổng cộng sáu thông báo giữa
hai đồng nghiệp IPsec ở chế độ chính, sau đó là ba thông báo được trao đổi trong chế độ
nhanh. Trong các phần tiếp theo, chúng ta sẽ xem xét quá trình chuẩn bị cũng như trao đổi
thực tế về từng thông điệp liên quan đến cuộc đàm phán này
Giai đoạn 1 của IKE (Chế độ chính): Chuẩn bị gửi tin nhắn 1 và 2
Hai thông báo đầu tiên trong thương lượng chế độ chính IKE được sử dụng để thương lượng
các giá trị, cơ chế băm và cơ chế mã hóa khác nhau để sử dụng cho nửa sau của các cuộc
thương lượng IKE. Ngoài ra, thông tin được trao đổi sẽ được sử dụng để tạo tài liệu khóa cho
hai đồng nghiệp. Tuy nhiên, trước khi hai thông điệp đầu tiên có thể được trao đổi, người khởi
xướng thương lượng và
người trả lời phải tính toán những gì được gọi là cookie. Những cookie này được sử dụng
làm số nhận dạng duy nhất của một cuộc trao đổi thương lượng.
Hai đồng đẳng tạo ra một số giả ngẫu nhiên được sử dụng cho mục đích chống khai thác. Các
cookie này dựa trên một mã định danh duy nhất cho mỗi ngang hàng (địa chỉ IP src và đích)
và do đó bảo vệ chống lại các cuộc tấn công phát lại. ISAKMP RFC tuyên bố rằng phương
pháp tạo cookie phụ thuộc vào việc triển khai nhưng đề xuất thực hiện băm của địa chỉ nguồn
và đích IP, các cổng nguồn và đích UDP, một giá trị cục bộ, thời gian và ngày tháng được tạo
ngẫu nhiên. Cookie trở thành một mã định danh duy nhất cho phần còn lại của các thông điệp
được trao đổi trong thương lượng IKE.
Danh sách sau đây cho thấy cách mỗi ứng dụng ngang hàng tạo ra cookie của nó:
• Tạo cookie khởi tạo — Một số giả ngẫu nhiên 8 byte được sử dụng để chống tắc nghẽn
CKY-I = md5 {(src_ip, dest_ip), số ngẫu nhiên, thời gian và ngày}
• Tạo cookie phản hồi — Một số giả ngẫu nhiên 8 byte được sử dụng để chống tắc nghẽn
CKY-R = md5 {(src_ip, dest_ip), số ngẫu nhiên, thời gian và ngày} IKE sử dụng trọng tải và
định dạng gói được xác định trong ISAKMP giao thức để thực hiện việc trao đổi thông tin
thực tế. Các gói được trao đổi bao gồm tiêu đề ISAKMP và một loạt các trọng tải được sử
dụng để mang thông tin cần thiết để thực hiện thương lượng.
IKE Giai đoạn 1 (Chế độ Chính): Gửi Thông báo 1
Hãy xem thông báo đầu tiên do trình khởi tạo IPsec gửi cho người trả lời và xem xét các
trường khác nhau trong thông báo này.
Hình 13-5 cho thấy tin nhắn IKE đầu tiên được gửi đi

4.2. IKE Phases

4.3. IKE Modes