TÌM HIỂU VỀ IKE
TRONG IPSEC
NỘI DUNG
GIAO THỨC IKE
I
II
III
•
•
•
Tổng quan về IKE
IKE và IPSEC
Các giai đoạn của IKE
IV
•
IKEv1
V
•
IKEv2
VI
•
So sánh IKEv1 và IKEv2
VII
•
Ứng dụng của IKE
GIAO THỨC IKE
I
II
III
•
•
•
Tổng quan về IKE
IKE và IPSEC
Các giai đoạn của IKE
IV
•
IKEv1
V
•
IKEv2
VI
•
So sánh IKEv1 và IKEv2
VII
•
Ứng dụng của IKE
I. TỔNG QUAN VỀ IKE
1. Định nghĩa
Là giao thức quản lý, trao đổi khóa trong IPSEC
Cho phép thương lượng và tạo tự động các IPSEC SA giữa các bên liên lạc
Nằm ngoài và độc lập với IPSec
IKE gồm 2 giai đoạn :
» Thành lập IKE SA
» Sử dụng IKE SA để đàm phán IPSec SAs
I. TỔNG QUAN VỀ IKE
2. Lịch sử về IKE
IKE được đưa vào năm 1998 bởi IETF
IKE có 2 phiên bản :
» IKEv1
» IKEv2
I. TỔNG QUAN VỀ IKE
3. Thuật toán Diffie-Hellman
I. TỔNG QUAN VỀ IKE
4. Đặc tính về IKE
Tự động làm mới khóa.
Chống tấn công từ chối dịch vụ DoS (Denial-of-Service).
Sử dụng chữ ký số.
Cung cấp những phương tiện cho hai bên về sự đồng ý những giao thức, thuật toán và
khóa để sử dụng.
Đảm bảo trao đổi khóa đến đúng người dùng.
Quản lý khóa sau khi được chấp nhận. Đảm bảo sự điều khiển và trao đổi khóa an toàn.
Cho phép sự chứng thực động giữa các đối tượng ngang hàng.
GIAO THỨC IKE
I
II
III
•
•
•
Tổng quan về IKE
IKE và IPSEC
Các giai đoạn của IKE
IV
•
IKEv1
V
•
IKEv2
VI
•
So sánh IKEv1 và IKEv2
VII
•
Ứng dụng của IKE
II. IKE và IPSec
1.Outbound packet from
A to B. No SA.
2.A's IKE begins
negotiation with B’s.
4.Packet is sent from
A to B protected by IPSec SA.
3.Negotiation complete.
A and B now have
IKE and IPSec SAs in place.
GIAO THỨC IKE
I
II
III
•
•
•
Tổng quan về IKE
IKE và IPSEC
Các giai đoạn của IKE
IV
•
IKEv1
V
•
IKEv2
VI
•
So sánh IKEv1 và IKEv2
VII
•
Ứng dụng của IKE
III. Các giai đoạn của IKE
III. Các giai đoạn của IKE
1. IKE giai đoạn 1
III. Các giai đoạn của IKE
1.1 Main Mode
III. Các giai đoạn của IKE
1.1.1 Đàm phán về chính sách
III. Các giai đoạn của IKE
1.1.2 Đàm phán về Diffie -Hellman
III. Các giai đoạn của IKE
1.1.3 Xác thực ngang hàng
III. Các giai đoạn của IKE
1.2 Aggressive Mode
III. Các giai đoạn của IKE
2. IKE giai đoạn 2
2.1 Quick Mode
GIAO THỨC IKE
I
II
III
•
•
•
Tổng quan về IKE
IKE và IPSEC
Các giai đoạn của IKE
IV
•
IKEv1
V
•
IKEv2
VI
•
So sánh IKEv1 và IKEv2
VII
•
Ứng dụng của IKE
IV. IKEv1
1. Một số điểm yếu của IKEv1
Có quá nhiều tùy chọn an toàn.
Thực hiện nhiều bước trao đổi, phức tạp.
Không hỗ trợ phương pháp xác thực mở rộng EAP.
Bị tấn công phản xạ ngay cả ở Main Mode xác thực sử dụng khóa chia sẻ
trước hoặc sử dụng chứng chỉ số [].
GIAO THỨC IKE
I
II
III
•
•
•
Tổng quan về IKE
IKE và IPSEC
Các giai đoạn của IKE
IV
•
IKEv1
V
•
IKEv2
VI
•
So sánh IKEv1 và IKEv2
VII
•
Ứng dụng của IKE
V. IKEv2
1. Tổng quan
Ra đời 10/2005 trong RFC 4306
Được phát triển nhằm giải quyết những vấn đề của IKEv1
Gồm 2 giai đoạn :
» Giai đoạn 1 gồm hai thủ tục IKE_SA_INIT và IKE_AUTH
» Giai đoạn 2 gồm thủ tục CREAT_CHILD_SA hoặc thủ tục INFORMATION
V. IKEv2
2. Hoạt động
Bước 1.1: IKE_SA_INIT
»
Để bắt đầu tạo ra IKE_SA thì Initiator sẽ gửi một thông báo IKE_SA_INIT request tới
Responder
»
»
Thông báo này gồm 4 phần payload gồm:
Phần header sẽ chứa giá trị SPImà phía Initiator mong muốn sử dụng, phiên bản của
IKE, các cờ xác định loại thông báo
»
»
»
Phần SAi1 chứa định danh cá thuật toán mật mã mà IKE_SA hỗ trợ sử dụng
Phần Kei chứa giá trị Diffie – Hellman của Initiator gửi tới cho bên Responder,
Phần Ni chứa giá trị ngâuc nhiên Nonce
V. IKEv2
2. Hoạt động
Bước 1.2: để hoàn tất việc tạo ra IKE_SA thì phía responder
sẽ gửi một thông báo IKE_SA_INIT responder tới Initiator
»
•
•
Thông báo này có thể chứa tới 5 loại payload
Phầnd payload HDR bao gồm cả 2 gía trị SPI của phía Intiator và responder
Responder thỏa thuận với Initiator một tổ hợp các thuật toán mật mã để bảo vệ
truyền thông
•
•
Ker chứa giá trị Diffie-hellman phía responder đã lựa chọn
Nr chứa giá trị nonce của responder