Giao thức trao đổi khĩa Interne t IKE(Internet Key Exchange).

Một phần của tài liệu Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa checkpoint (Trang 63 - 67)

4. Xử lý gĩi tin đầu ra

2.2.2. Giao thức trao đổi khĩa Interne t IKE(Internet Key Exchange).

Exchange).

Bản thân giao thức IPSec khơng cĩ khả năng thiết lập SA. Do đĩ quá trình được chia làm 2 phần: IPSec cung cấp xử lý ở mức gĩi và giao thức quản lý trao

Nghiên cửu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint

là thoả thuận SA cho IPSec. Quá trình này yêu câu hai hệ thơng xác thực lân nhau và thiết lập các khố sử dụng chung.

IKE trợ giúp các nhĩm liên lạc thương lượng các tham số bảo mật và các khố xác thực trước khi một phiên IPSec an tồn được thực thi. Các tham số bảo mật được thương lượng này sẽ được định nghĩa một lần trong SA. Ngồi việc thương lượng và thiết lập các tham sổ bảo mật và các khố mật mã, IKE cũng thay

đối các tham sổ và khố khi được yêu cầu trong một phiên làm việc, IKE cũng chịu trách nhiệm xố các khố và các SA này sau khi một phiên truyền tin được hồn tất.

Nhũng ưu điếm chính của IKE bao gồm:

- IKE khơng phục thuộc vào cơng nghệ. Vì vậy nĩ cĩ thế được dùng với bất

kỳ cơ

chế bảo mật nào.

- IKE mặc dù khơng nhanh, nhưng hiệu quả cao vì một số lượng lớn các SA được

thưong lượng với một sổ thơng điệp vùa phải.

Theo cấu trúc làm việc của ISAKMP. IKE làm việc qua hai pha. Hai pha trao đối khố sẽ tạo ra IKE SA và một đường hầm an tồn giữa hai hệ thống. Một phía sẽ đưa ra một trong các thuật tốn, phía kia sẽ chấp nhận hoặc loại bỏ kết nối.

Khi hai bên đã thống nhất được các thuật tốn sẽ sử dụng thì chúng sẽ tạo khố cho IPSec. IPSec sử dụng một khố dùng chung khác với khố của IKE, khố này cĩ được nhờ sử dụng thuật tốn Diffie-Hellman một lần nữa hoặc sử dụng lại khố

cách thức cho pha IKE II được trao đổi giữa các bên.về mặt hiệu suất, sự sinh khố Diffie-Hellman chậm và nặng.Ket quả của pha này là IKE SA,là sự thoả thuận khố và cách thức cho pha IKE II.

IKE Pha se I for Secunty Gatevvays

CaxtKMt ...I... I I s/ hMCMy ' ■>& "V5' nTe-Hrikntrt •«> i' *-

K«y Matmu Key Hatcnv Synvnetnai kry

MV>'Heflm«n k(y

V*

Simmetntal Hry 1KESA

Các bẽn xác ứiực lan nhau sứ dụng chúng chi hoặc cảc khố đuợc bi mật -Từ một nhỏm bít ngầu nhiên mịi bẽn tạo ra mộtkhoả riêng DH.

-Mồi bẽn nhận được khoả cơng khai DH từ

chinh kho ả riêng cùa nỏ. -Khoả cịng khai đuợc trao đơi. -Mồi bèn tạo ra một khồ bĩ mặt chia sẻ từ

khồ riêng của nĩ vã khoả cịng -Khoả DH được sử dụng ctẻ

trao đổi các

yêu tị khoả(cảc bít ngầu nhiên và các dử liệu tốn học khác).

-Thoả ứiuận cả ch điửc mà

hoả và đảm bão

tinh tồn ven cho pha IKE L Mồi bẽn tạo ra khố đổi xúng

Hình 47. IKE Phaseỉ

a. Thống nhất thuật tốn mã hĩa, xác thực

Packet 1 : A gửi cho B thơng điệp ƯDP port 500 chứa các giao thức, thuật tốn đế B chọn, Chứa một giá trị ngẫu nhiên CookieA(Initiator) trong ISAKMP header

IP Header UDP Header ISAKMP Identity Certificat Signature i--- iymKtla) key Ịjr Ị »«v • ...1... MY M4rrun •-->* 1 ... ...1...rỉ. " ■ " T ^ ... ... IPSccSA

Nghiên cửu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint

1 Frame 45 (358 bytes on wire, 358 bytes captured)

1 Ethernet II, src: vmware_c0:00:03 (00:50:56:cO:00:03), Dst: Vmv;are_85:7b:c6 (00:0c:29:85:7b:c6)

1 internet Protocol, src: 192.168.20.10 (192.168.20.10), Dst: 192.168.20.1 (192.168.20.1)

1 User Datagram protocol, src Port: netinfo-loca1 (1033), Dst Port: isakmp (500) 3 internet security AssociatÌQn an d Key Management Protocol

<irĩTtTãtor cookie: D84424E6B21FFE75 ^> Respõnder cookie:

ooooooooõõõõ Next payload: security Association (1)

version: 1.0

Exchange type: Identity Protection (Main Mode) (2) s Flags: 0x00 Message ID: 0x00000000 Lengtíí: 316 B security Association payload Transíịrm 1 aaBBi3Bii 11III ■ ■

Next payload: Transform (3) Payload length: 40

Transform number: 1

Transform ID: KEY_IKE (1)

Encryption-Algorithm (1): AES-CBC (7) Key-Length (14): Key-Length (256) Hash-Algorithm (2): SHA (2)

Authentication-Method (3): HybridinitRSA (64221)

Group-Description (4): Alternate 1024-bit MODP group (2)

Life-Type (11): seconds (1)

LifG-Duration (12): Duration-value (86400) ÍI Transfnrm navlnad * ?

Nghiên cửu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng

tường lửa Checkpoint

ĩi Ethernet II, src: Vmv:are_85:7b:c6 (00:0c:29:85:7b:c6), Dst: Vmv;are_c0:00:03 (00:50:56:c0:00:03)

5 Tnrprnpt g;prurir y Accnriarinn and k py Management Protocol

[nitiator cookie: D84424E6B21FFEĨĨ Lespon der cookie: 4689497876BB6S3.E Nextpay I oaa: security Association (1) version: 1.0

Exchange type: Identity Protection (Main Mode) (2) ffl Flags: 0x00 Message ID: 0x00000000 Length: 132 B security Association payload

Next payload: vendor ID (13)

Payload length: 60 Domain of interpretation: IPSEC (1)

Hình 49. Gĩi tin lựa chọn thuật tốn

b. Trao đổi khĩa : tạo khĩa mật chung sử dụng Diffie Hellman IKE sẽ sử dụng thuật tốn Diffíe- Hellman (DH) đế tạo một khố bí mật dùng

+ Số nguyên tố lớn N.

+ Số g là một phần tử nguyên thuỷ của Z*N .

+ Hàm f(x)= gX mod N với X là số ngẫu nhiên thuộc Z*N do A chọn và gửi f(x) - Bên B chọn ngẫu nhiên y thuộc Z*N và tính f(y) = gY mod N rồi gửi cho A. Sau khi nhận được giá trị f(x), bên B tính SB = f(x)Y mod N. Cịn A, sau khi nhận được giá trị f(y) của B, A tính: SA = f(y)X mod N.

Khĩa chung bí mật là SB = SA = s

-> Khĩa bí mật dùng chung được tạo từ khĩa riêng của bên này và khĩa cơng khai

Nghiên cửu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint

c. xác thực đơi tác

Trong trao đổi này hai bên trao đổi các thơng tin nhận dạng của nhau thơng qua

Các thơng tin nhận dạng là các trường sau: Identity, Certifìcate, Signature đã được mã hĩa bằng các giao thức, thuật tốn được xác định tại bước trao đối thức nhất và các khố chung bí mật đã được thiết lập ở bước trao đối khố bí mật.

2.2.2.2. ĨKE Phase 2

IKE Phase hai cĩ tác dụng:

- Thoả thuận các tham số bảo mật IPSec, các tập chuyến đổi IPSec (IPsec Transíịrm Sets) để bảo vệ đường hầm IPSec.

- Thiết lập các thoả thuận bảo mật IPSec SA. Sacutcy Qềmmi Saeưti Om*ÊỊ

3DES DES CAST AES -128 (deíault) AES - 256 DES CAST DES - 40CP Integrit

y MD5SHA1 (detault) MD5SHA1 (detault)

Parameter IKE Phase 1 (IKE SA) IKE Phase II (IPSec SA) Diffie Hellman Groups Group2 (1024 bits) (detault) Groupl (768 bits) Group2 (1024 bits) (detault) Groupl (768 bits)

-Các bẽn trao đổi ỵểu tố khoả và đưa tới

việc mã hoả vã tốn ven của

-Khoả DH kểt hợp với vểu tố khoả đề tạo

ra khoả địi xứng IPSec.

-Khoả đối xúng IPSec được sử dụnơ

tru vén lượnơ lỡn dừ liệu

Hình 50. IKE Phase2a

81dụng dụng

tường lửa Checkpoint

Khĩa IPSec được tạo thì dữ liệu được mã hĩa và chuyển đi.

IPSec Securi

ty

Gateway IPSec packet GatovvaSecurlty

Encryptcd Data VPN tunnel • IKE negotiatton buiids tho tunod o

# IPSec keys used to crcatc encrypted IP packets for ◄ặsaHĩEa • Data payload encrypted (DES, AES, or othcr) 33S31M1 • Data integrity ensured with ooc-way hash íunctions (MD5 or SHA1) Hình 51 Đưỏng hầm VPN

Một phần của tài liệu Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa checkpoint (Trang 63 - 67)

Tải bản đầy đủ (DOC)

(117 trang)
w