3.2.5.2. Aggressive mode Hình 3.20 Mô tả một phiên giao dịch trong chế độ IKE Aggressive Được thiết lập tương tự như Main mode. Khác nhau giữa hai chế độ chỉ là trong Main mode gồm sáu thông điệp, còn trong chế độ này chỉ ba thông điệp được trao đổi. Kết quả là chế độ này nhanh hơn Main mode. Các thông điệp được trao đổi trong chế độ này như sau: Thông điệp thứ nhất được dùng để hỗ trợ một chính sách bảo mật, cho đi qua dữ liệu cần thiết. Thông điệp thứ hai hoạt động như để đáp lại thông điệp thứ nhất. Nó xác thực người nhận và hoàn thành chính sách bảo mật cùng với các khoá. Thông điệp cuối cùng của chế độ này được dùng để xác thực người gửi 3.2.5.3. Quick Mode - Header: M ộ t tiêu đ ể ISAKMP tương ứ ng v ớ i ch ế đ ộ đư ợ c dùng - SA: Kết hợp bảo mật được thương lượng - Nonce: Một số ngẫu nhiên gửi cho việc ký số - KE: Khoá trao đ ổ i d ữ li ệ u cho trao đ ổ i khoá Differ - Helman - Header: M ộ t tiêu đ ể ISAKMP tương ứ ng v ớ i ch ế đ ộ đư ợ c dùng - SA: Kết hợp bảo mật được thương lượng - Nonce: Một số ngẫu nhiên gửi cho việc ký số Hình 3.21 Trao đổi thông điệp trong chế độ Quick IKE, thuộc pha thứ II Chế độ IKE thứ ba, Quick Mode là một chế độ pha II. Nó được dùng để thương lượng với SA về các dịch vụ bảo mật IPSEc. Hơn nữa, Quick Mode cũng tạo ra các khoá mới cần thiết. Nếu chính sách bảo mật chuyển tiếp đầy đủ được thảo luận trước pha I, một quá trình trao đổi khoá Diffie-Hellman được khởi tạo. Trường hợp khác, các khoá mới được tạo bằng việc dùng các giá trị hàm băm. Trao đổi thông điệp trong chế độ Quick mode được mô tả như trong hình 3.42 3.2.5.4. Chế độ New Group Chế độ này được dùng để thương lượng với một nhóm riêng mới làm cho khả năng trao đổi khoá Diffie-Hellman trở nên dễ dàng. Hình 3.43 mô tả chế độ New group. Mặc dù chế độ này xuất hiện sau pha I, nhưng nó không phải là một phần của pha II. Hình 3.22 Trao đổi thông điệp trong chế độ Newgroup IKE Thêm vào đó, trong bốn chế độ IKE thường được thực thi, có chế độ truyền tin, chế độ này là sự kết hợp bởi pha thứ hai và SA, chế độ này đề ra các nhóm liên quan với một số thông tin được bổ sung, và thường liên quan tới các lỗi trong thương lượng. Ví dụ, nếu việc giải mã bị lỗi tại người nhận hoặc chữ ký không được xác thực thành công. Chế độ truyền tin được dùng để thông báo tới các bên khác. 3.3. Quá trình hoạt động của IPSec Quá trình hoạt động của IPSec được thực hiện như sau: - Ban đầu các lưu lượng cần bảo vệ được chỉ ra cho IPSec, tiếp theo IKE Phase1 sẽ thoả thuận một kết hợp bảo mật IKE SA, thiết lập một kênh truyền thông an toàn và xác thực đối tác. - Header: M ộ t tiêu đ ể ISAKMP tương ứ ng v ớ i ch ế đ ộ đư ợ c dùng - SA: Kết hợp bảo mật được thương lượng - IKE Phase 2 sẽ thoả thuận các thông số của IPSec SA trên kênh an toàn vừa được thiết lập. Những thông số này được sử dụng để thống nhất việc bảo vệ dữ liệu trao đổi giữa hai bên. Các khoá được lưu trữ trong cơ sở dữ liệu SA. - Sau đó các gói dữ liệu được xử lý AH hoặc ESP với các thuật toán mã hoá, xác thực và các khoá được chỉ ra bởi SA. - Cuối cùng khi kết thúc, đường hầm IPSec bị xoá. 3.4. Xử lý hệ thống IPSec/IKE Đây là điều quan trọng để hiểu được cách thức các hệ thống xử lý các gói dữ liệu, lúc các gói đó được chuyển đến có sử dụng IPSec và IKE. Với bảo mật IP được đặt đúng vị trí, các gói dữ liệu có thể không còn được xử lý, chuyển tiếp hoặc hủy bỏ một cách đơn giản nữa mà phải phụ thuộc vào chính sách bảo mật để xác định nếu quá trình xử lý IPSec bổ sung được yêu cầu và khi nó phải xẩy ra. Mặc dù có sự khác nhau không đáng kể giữa các Platform về cách thức chúng thực hiện IPSec trên các chồng IP riêng biệt của chúng, chức năng thông thường của quá trình xử lý IPSec với các hệ thống Host và Getway có thể được tổng kết lại như sau: 3.4.1. Xử lý IPSec cho đầu ra với các hệ thống máy chủ Với IPSec hoạt động, bất kỳ các gói dữ liệu đi ra nào cũng đều phụ thuộc vào cơ sở dữ liệu chính sách bảo mật(SPD) để xác định nếu quá trình xử lý IPSec được yêu cầu hoặc những xử lý khác được thực hiện với các gói. Nếu IPSec được yêu cầu, cơ sở dữ liệu liên kết bảo mật(SAD) sẽ được tìm kiếm một SA đã tồn tại cho gói dữ liệu thích hợp với hồ sơ. Nếu không có trường hợp nào được tìm thấy và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ. Một quá trình thương lượng IKE sẽ được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói này. Cuối cùng, IPSec được áp dụng để các gói được yêu cầu bởi SA và gói dữ liệu được phân phối. Quá trình xử lý này được minh họa trong hình 3.23 Hình 3.23 IPSec – Xử lý đầu ra với hệ thống các Host 3.4.2. Xử lý đầu vào với các hệ thống máy chủ Host Với IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng đều phụ thuộc vào SPD để xác định xử lý IPSec được yêu cầu hay các xử lý khác sẽ thực hiện với gói dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập đến để tìm một SPI đã tồn tại thích hợp với giá trị SPI chứa trong gói. Nếu không có giá trị nào phù hợp, về cơ bản có 2 tùy chọn. 1. Loại bỏ gói tin mà không cho người gửi biết(nhưng có thể ghi nhật ký sự kiện nếu được cấu hình). Tùy chọn này là ngầm định bởi hầu hết các IPSec ngày nay 2. Nếu IKE cũng như yêu cầu các SA nội tuyến được hỗ trợ, một thỏa thuận IKE mới được bắt đầu là kết quả cuối cùng trong việc thiết lập các SA với người gửi của gói dữ liệu gốc. Trong trường hợp này, sẽ không vấn đề gì nếu gói dữ liệu gốc được IPSec bảo vệ hoặc ở dạng rõ, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu người gửi gói dữ liệu gốc đáp ứng thỏa thuận IKE, và nó dự tính rằng các gói sẽ bị hủy bỏ cho đến khi một SA được thiết lập Cuối cùng, IPSec được áp dụng với các gói được yêu cầu bởi SA và các gói tải được phân phối tới tiến trình cục bộ. Quá trình xử lý này được minh họa như hình 3.24 Hình 3.24 IPSec – Xử lý hướng nội với các hệ thống máy chủ Host 3.4.3. Xử lý đầu ra với các hệ thống cổng kết nối Trên một hệ thống cổng kết nối, bất kỳ gói dữ liệu đi ra nào cũng thường tùy thuộc vào SPD của giao diện bảo mật để quyết định phải làm gì với nó. Nếu quyết định là để định tuyến gói dữ liệu, bảng định tuyến sẽ được tra cứu để quyết định nếu gói được phân phối tới tại cả. Nếu không có route được tìm thấy. Quá trình xử lý IPSec sẽ không được thực hiện, nhưng người gửi gói dữ liệu gốc có thể được cho biết về vấn đề này bằng cách dùng các thông điệp không tới được mạng ICMP. Chúng ta thừa nhận rằng, các hệ thống cổng kết nối hoặc tận dụng các giao thức định tuyến hoặc định nghĩa sự định tuyến mặc định và như vậy một quyết định định tuyến thành công có thể được thực hiện. Từ phạm vi trên, về bản chất quá trình xử lý là giống như trên các hệ thống Host. Gói dữ liệu sau đó được chuyển tiếp đến SPD của giao diện không bảo mật để quyết định xử lý IPSec được yêu cầu hay xử lý khác được thực hiện với gói dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SA đã có cho gói nào phù hợp với hồ sơ. Nếu không trường hợp nào được tìm thấy, và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói dữ liệu này. Cuối cùng, IPSec được áp dụng cho các gói được yêu cầu bởi SA và gói dữ liệu được phân phối. Quá trình xử lý này được minh họa như trong hình 3.25 . Mode - Header: M ộ t tiêu đ ể ISAKMP tương ứ ng v ớ i ch ế đ ộ đư ợ c dùng - SA: Kết hợp bảo mật được thương lượng - Nonce: Một số ngẫu nhiên gửi cho việc ký số - KE: Khoá. li ệ u cho trao đ ổ i khoá Differ - Helman - Header: M ộ t tiêu đ ể ISAKMP tương ứ ng v ớ i ch ế đ ộ đư ợ c dùng - SA: Kết hợp bảo mật được thương lượng - Nonce: Một số ngẫu nhiên gửi. sau: - Ban đầu các lưu lượng cần bảo vệ được chỉ ra cho IPSec, tiếp theo IKE Phase1 sẽ thoả thuận một kết hợp bảo mật IKE SA, thiết lập một kênh truyền thông an toàn và xác thực đối tác. -