Tìm hiểu về IKE trong IPSec. Tính năng của IKE : Tự động làm mới khóa. Chống tấn công từ chối dịch vụ DoS (DenialofService). Sử dụng chữ ký số. Cung cấp những phương tiện cho hai bên về sự đồng ý những giao thức, thuật toán và khóa để sử dụng. Đảm bảo trao đổi khóa đến đúng người dùng. Quản lý khóa sau khi được chấp nhận. Đảm bảo sự điều khiển và trao đổi khóa an toàn. Cho phép sự chứng thực động giữa các đối tượng ngang hàng.
Trang 1TÌM HIỂU VỀ IKE TRONG IPSEC
Trang 2NỘI DUNG
Trang 3• Các giai đoạn của IKE
Trang 5I TỔNG QUAN VỀ IKE
Là giao thức quản lý, trao đổi khóa trong IPSEC
Cho phép thương lượng và tạo tự động các IPSEC SA giữa các bên liên lạc
Nằm ngoài và độc lập với IPSec
IKE gồm 2 giai đoạn :
» Thành lập IKE SA
» Sử dụng IKE SA để đàm phán IPSec SAs
1 Định nghĩa
Trang 7I TỔNG QUAN VỀ IKE
3 Thuật toán Diffie-Hellman
Trang 8 Đảm bảo trao đổi khóa đến đúng người dùng.
Quản lý khóa sau khi được chấp nhận Đảm bảo sự điều khiển và trao đổi khóa an toàn.
Cho phép sự chứng thực động giữa các đối tượng ngang hàng.
4 Đặc tính về IKE
Trang 10II IKE và IPSec
1.Outbound packet from 4.Packet is sent from
A to B No SA A to B protected by IPSec SA.
2.A's IKE begins 3.Negotiation complete.
negotiation with B’s A and B now have
IKE and IPSec SAs in place.
1 Gói tin đi từ A đến B Không có SA.
2 IKE của A bắt đầu đàm phán với B // 1 Phiên IKE chạy trên UDP (cổng nguồn và đích là 500)
// Kết quả của phiên IKE là các IKE SAs.
3 Hoàn thành A và B hiện đã có IKE và IPSec SA.// sau đó, IKE thiết lập tất cả các IPSEC SA theo yêu cầu.
4 Gói được gửi từ A đến B được bảo vệ bởi IPSec SA.
Trang 11
• Các giai đoạn của IKE
Trang 12III Các giai đoạn của IKE
Trang 13III Các giai đoạn của IKE
1 IKE giai đoạn 1
Trang 14III Các giai đoạn của IKE
1.1 Main Mode
Trang 15III Các giai đoạn của IKE
1.1.1 Đàm phán về chính sách
Trang 16III Các giai đoạn của IKE
1.1.2 Đàm phán về Diffie -Hellman
Trang 17III Các giai đoạn của IKE
1.1.3 Xác thực ngang hàng
Trang 18III Các giai đoạn của IKE
1.2 Aggressive Mode
Trang 19III Các giai đoạn của IKE
2 IKE giai đoạn 2
2.1 Quick Mode
Trang 21IV IKEv1
Có quá nhiều tùy chọn an toàn
Thực hiện nhiều bước trao đổi, phức tạp
Không hỗ trợ phương pháp xác thực mở rộng EAP
Bị tấn công phản xạ ngay cả ở Main Mode xác thực sử dụng khóa chia sẻ trước hoặc sử dụng chứng chỉ số []
1 Một số điểm yếu của IKEv1
Trang 23V IKEv2
Ra đời 10/2005 trong RFC 4306
Được phát triển nhằm giải quyết những vấn đề của IKEv1
Gồm 2 giai đoạn :
» Giai đoạn 1 gồm hai thủ tục IKE_SA_INIT và IKE_AUTH
» Giai đoạn 2 gồm thủ tục CREAT_CHILD_SA hoặc thủ tục INFORMATION
1 Tổng quan
Trang 24V IKEv2
Bước 1.1: IKE_SA_INIT
» Để bắt đầu tạo ra IKE_SA thì Initiator sẽ gửi một thông báo IKE_SA_INIT request tới Responder
» Thông báo này gồm 4 phần payload gồm:
» Phần header sẽ chứa giá trị SPImà phía Initiator mong muốn sử dụng, phiên bản của IKE, các cờ xác định loại thông báo
» Phần SAi1 chứa định danh cá thuật toán mật mã mà IKE_SA hỗ trợ sử dụng
» Phần Kei chứa giá trị Diffie – Hellman của Initiator gửi tới cho bên Responder,
» Phần Ni chứa giá trị ngâuc nhiên Nonce
2 Hoạt động
Trang 25V IKEv2
Bước 1.2: để hoàn tất việc tạo ra IKE_SA thì phía responder
sẽ gửi một thông báo IKE_SA_INIT responder tới Initiator
» Thông báo này có thể chứa tới 5 loại payload
• Phầnd payload HDR bao gồm cả 2 gía trị SPI của phía Intiator và responder
• Responder thỏa thuận với Initiator một tổ hợp các thuật toán mật mã để bảo vệ truyền thông
• Ker chứa giá trị Diffie-hellman phía responder đã lựa chọn
• Nr chứa giá trị nonce của responder
2 Hoạt động
Trang 26V IKEv2
Bước 2.1: IKE_AUTH phía Intiator sẽ gửi một thông báo IKE_SA_INT request tới Responder
» Thông báo này gồm 2 phần payload gồm:
• IKE header chứa giá trị SPI phía Intiator, responder, phiên bản IKE
• Phần payload SK chúa các thông tin sẽ được bảo vệ bởi khóa phiên SK
2 Hoạt động
Trang 27V IKEv2
Bước 2.2: phía Responder sau khi nhận được thông báo IKE_SA_INT request trong phase IKE_AUTH và đã xác minh được thông tin trong thông báo này thì nó sẽ hồi đáp lại phía Initiator bằng một thông báo
» Sau khi phía Initiatr hoàn tất việc kiểm tra, xác thực được trường AUTH trong thông báo hồi đáp được gửi từ phía responder thì cả hai bên cùng thỏa thuận các tổ hợp an toàn để bảo vệ truyền thông giũa hai thực thể để thay thế các
SA đã hết thời gian sống
2 Hoạt động
Trang 29VI So sánh IKEv1 và IKEv2
Có 2 giai đoạn
Hỗ trợ bảo vệ định danh, cơ chế chống tấn công DOS
Hoạt động trên cổng UDP 500
1 Giống nhau
Trang 30VI So sánh IKEv1 và IKEv2
2 Khác nhau
- Thiết lập SAs con bằng cách sử dụng IKE_SA.
- Yêu câu 3 thông báo để thiết lập CHILD_SA
- Không hỗ trợ NAT cổng UDP 4500
- Thời gian sống của SAs được các bên than giam thoả
Trang 32VII Ứng dụng của IKE
Sử dụng như một phần của bộ giao thức IPSec
Trong các sản phẩm mã nguồn mở của IPSec :
• OpenSwan
• StrongSwan