BẢO MẬT TRONG VPN
3.4.3.Trao đổi khóa mã hóa IKE
Trong truyền thông sử dụng giao thức IPSec phải có sự trao đổi khóa giữa hai điểm kết cuối do đó đòi hỏi phải có cơ chế quản lý khóa. Có hai phương thức chuyển giao khóa đó là chuyển khóa bằng tay và chuyển khóa bằng giao thức IKE. Cả hai phương thức này không thể thiếu được trong IPSec. Một hệ thống IPSec phụ thuộc phải hỗ trợ phương thức chuyển khóa bằng tay. Phương thức chìa khóa trao tay (chẳng hạn khóa thương mại) ghi trên giấy, trên đĩa mềm, gửi qua bưu phẩm hoặc e-mail. Phương thức này chỉ phù hợp với số lượng nhỏ các site, đối với mạng lớn phải thực hiện phương thức quản lý khóa tự động. Trong IPSec người ta thường dùng giao thức quản lý chuyển khóa IKE. Phương thức này có các khả năng sau:
- Cho phép 2 bên thỏa thuận sử dụng các giao thức, giải thuật và khóa. - Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng - Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận - Đảm bảo các khóa được chuyển một cách bảo mật.
3.4.3.1. Các chế độ và các giai đoạn trong IKE
Các quá trình thực hiện trên IKE được chia thành 2 giai đoạn. Giai đoạn 1 thiết lập đường hầm bảo mật cho các hoạt động IKE diễn ra trên đó. Giai đoạn 2 là tiến trình đàm phán các mục đích liên kết bảo mật SA.
IKE có 3 chế độ chuyển khóa (2 cho giai đoạn 1 và 1 cho giai đoạn 2): - Chế độ chính: Hoàn thành giai đoạn sau khi đã thiết lập một kênh bảo vệ.
- Chế độ năng động: Một cách khác để hoàn thành giai đoạn 1. Nó đơn giản hơn và nhanh hơn chế độ chính nhưng không bảo mật nhận dạng cho việc đàm phán giữa các nút bởi vì nó truyền nhận dạng của chúng trước khi đàm phán một kênh bảo mật.
- Chế độ nhanh (Quick Mode): Hoàn thành giai đoạn 2 bằng cách đàm phán một SA cho mục đích tryền thông.
IKE cũng còn một chế độ khác là chế độ nhóm mới, chế độ này không thật sự là của giai đoạn 1 hay giai đoạn 2. Chế độ nhóm mới theo sau đàm phán của qúa trình và đưa một cơ chế định nghĩa nhóm riêng cho chuyển giao Diffie-Hellman.
Để thiết lập một bảo mật IKE cho một nút, một host hay một cổng cần: - Một giải thuật mã hóa để bảo mật dữ liệu
- Một giải thuật băm dành cho báo hiệu - Một phương thức xác thực cho báo hiệu - Thông tin về nhóm làm việc thông qua nhóm
Yếu tố thứ 5 có thể đưa ra trong SA là hàm giả ngẫu nhiên sử dụng để băm giá trị hiện tại xuống quá trình chuyển khóa cho mục đích kiểm tra. Nếu trong SA không bao gồm nó thì HMAC của giải thuật băm (yếu tố thứ 2) được sử dụng.
* Chế độ chính:
- Giai đoạn 1 sử dụng chế độ chính diễn ra theo 3 cặp thông báo trao đổi hai chiều giữa SA gửi và SA nhận như hình vẽ. Cặp thông báo đầu tiên thỏa thuận về giải thuật và băm. Cặp thông báo thứ 2 chuyển giao khóa chung và các nonce của nhau. Cặp thông báo thứ 3 hai bên sẽ kiểm tra danh định của nhau và quá trình trao đổi hoàn tất.
- Hai bên sử dụng khóa dùng chung khi chúng nhận được. Hai bên sẽ thực hiện băm chúng 3 lần: Đầu tiên tạo ra một khóa gốc (để sử dụng tạo khóa phụ trong chế độ nhanh sau này), sau đó là khóa xác thực và cuối cùng là khóa mã để sử dụng.
- Chế độ chính bảo mật danh định của các đối tượng truyền thông. Nếu không cần bảo mật, để trao đổi nhanh hơn thì chế độ năng động được sử dụng.
Hình 3.9. Quá trình trao đổi trong chế độ chính * Chế độ năng động: Tiêu đề SA Tiêu đề SA Tiêu đề Key Nonce
Tiêu đề Key Nonce
Tiêu đề ID Cert Tiêu đề ID Cert Sig Sig 1 2 3 4 5 6 Cert : Một chứng nhận tải ID : Một nhận dạng tải Key : Một khóa trao đổi tải Nonce : Một lần tải
SA : Một liên kết bảo mật tải Sig : Một chữ ký tải Tiêu đề SA Key Nonce ID
Tiêu đề SA Key Nonce ID Cert Sig
Tiêu đề Cert Sig 1 2 3 Cert : Một chứng nhận tải ID : Một nhận dạng tải Key : Một khóa trao đổi tải Nonce : Một lần tải
SA : Một liên kết bảo mật tải Sig : Một chữ ký tải
Hình 3.10. Quá trình trao đổi trong chế độ năng động
Chế độ năng động đưa ra dịch vụ cũng tương tự như chế độ chính. Ở chế độ này, chỉ có một lần trao đổi thay vì ba lần như chế độ chính. Khi bắt đầu chuyển đổi bên phát sẽ tạo ra một đôi Diffie-Hellman, đưa ra một SA, chuyển đi giá trị Diffie-Hellman công cộng, gửi một nonce cho đầu kia ghi nhận và gửi một gói ID cho bên đáp ứng.
* Chế độ nhanh:
Chế độ nhanh có hai mục đích: Đàm phán về bảo mật IPSec và làm tươi khóa. Chế độ nhanh thì đơn giản hơn chế độ chính và năng động vì nó đã có sẵn một đường hầm bảo mật. Các gói chế độ nhanh đều được mã hóa và được khởi tạo với một tải băm.
Hình 3.11. Quá trình trao đổi trong chế độ nhanh
Khóa có thể được làm tươi bằng một trong hai cách: Nếu như không cần chuyển tiếp một cách bí mật hoàn toàn thì chế độ nhanh chỉ làm tươi khóa trong chế độ chính hay trong chế độ năng động với băm thêm.
3.4.3.2. Đàm phán SA
Để thiết lập một SA, bên khởi tạo gửi một thông báo ở chế độ nhanh yêu cầu một SA mới. Một đàm phán SA là kết quả của hai SA: Một hướng về bên khởi tạo và một hướng đi. Để tránh xung đột về SPI nút nhận phải chọn SPI. Do đó trong chế độ nhanh bên phát thông báo cho bên đáp ứng biết SPI đã được sử dụng và bên đáp ứng sẽ theo SPI đã được chọn. Mỗi SPI kết hợp với IP đích chỉ định một IPSec SA đơn duy nhất.
Kết luận chương: Tiêu đề Hash 1 SA Nonce {Key} ID
Tiêu đề Hash 2 SA Nonce {Key} Tiêu đề Hash 3 1 2 3 Cert : Một chứng nhận tải ID : Một nhận dạng tải Key : Một khóa trao đổi tải Nonce : Một lần tải
SA : Một liên kết bảo mật tải Sig : Một chữ ký tải
Trong chương này và hai chương trước học viên đã trình bày ngắn gọn những hiểu biết của mình về lý thuyết mạng riêng ảo. Từ tổng quan đến các giao thức và những vấn đề về bảo mật. Trong mỗi chương, bên cạnh những nội dung lý thuyết cơ bản, học viên có nêu thêm những nhận xét, đánh giá, bày tỏ quan điểm của mình trong những trường hợp, vấn đề cụ thể.
Việc ứng dụng mạng riêng ảo này vào việc mở rộng các mạng LAN thành mạng WAN trong thực tế đang là một hướng đi rất khả thi. Hiện tại mạng diện rộng khối cơ