Chương 1 : TỔNG QUAN
3.3 Kết hợp an ninh
3.3.1 Kết hợp an ninh SA
Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán xác thức, mật mã; địa chỉ của đối tác, chế độ truyền dẫn, thồi gian sống của khoá v.v... Những thông tin này được biết đến như là một kết hợp an ninh SA. Một SA là một kết nối logic một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua kết nối.Bởi vì hầu hết lưu lượng là hai chiều nên phải cần hai SA, một cho đầu vào và một cho đầu ra.
Thiết bị VPN sau đó sẽ đánh số SA bằng một số SPI (Security Parameter Index – chỉ số thơng số bảo mật). Thay vì gửi từng thơng số của SA qua đường hầm, mỗi phía chỉ đơn giản chèn số SPI vào ESP Header. Khi bên thu nhận được gói sẽ tìm kiếm địa chỉ đích và SPI trong cơ sở dữ liệu của nó SAD (Security Association database), sau đó xử lý gói theo các thuật toán được chỉ định bởi SPI / ra trong SPD.
Hình 3-8: Các kết hợp an ninh
IPSec SA có hai cơ sở dữ liệu, đó là: cơ sở dữ liệu chính sách an ninh (Security Policy Database SPD) và cơ sở dữ liệu kết hợp an ninh (Security Association Database SAD).
SPD: chỉ ra các dịch vụ an toàn được đề nghị cho lưu lượng IP, phụ thuộc vào các nhân tố như nguồn, đích, đi ra hay đi về. Nó chứa đựng một danh sách những lối vào chính sách, tồn tại riêng rẽ cho lưu lượng đi vào và đi ra. Các lối vào này có thể nhận định một vài lưu lượng không qua xử lý IPSec, một vài phải được loại bỏ và cịn lại thì được xử lý bởi IPSec. Các lối vào này là tương tự cho firewall hay bộ lọc gói.
SAD: chứa thơng số về mỗi SA, giống như các tính tốn và khóa AH hay ESP, số trình tự, kiểu giao thức và thời gian sống SA. Cho xử lý đi ra, một lối vào SPD trỏ tới một lối vào trong SAD. SAD quyết định SA nào được sử dụng cho một gói đã cho. Cho xử lý đi về, SAD được tham khảo để quyết định gói được xử lý như thế nào.
3.3.2 Giao thức trao đổi khóa IKE
Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec khơng có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, cịm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP (Simple Key Internet Protocol), và Photuis, IETF đã quyết định chọn IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec.
Một đườnghầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau:
Bước 1: Quan tâm đến lưu lượng được nhận hoặc sinh ra từ các bên IPSec IP- VPN tại một giao diện nào đó u cầu thiết lập phiên thơng tin IPSec cho lưu lượng đó.
Bước 2: Thương lượng chế độ chính (Main Mode) hoặc chế độ tấn công (Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec.
Bước 3: Thương lượng chế độ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo ra 2 IPSec SA giữa hai bên IPSec.
Bước 4: Dữ liệu bắt đầu truyền qua đường hầmmã hóa sử dụng kỹ thuật đóng gói ESP hoặc AH (hoặc cả hai).
Bước 5: Kết thúc đường hầm IPSec VPN. Nguyên nhân có thể là do IPSec SA kết thúc hoặc hết hạn hoặc bị xóa.
Tuy là chia thành 4 bước, nhưng cơ bản là bước thứ 2 và bước thứ 3, hai bước này định ra một cách rõ ràng rằng IKE có tất cả 2 pha. Pha thứ nhất sử dụng chế độ chính hoặc chế độ tấn cơng để trao đổi giữa các bên, và pha thứ hai được hoàn thành nhờ sử dụng trao đổi chế độ nhanh.
Hình 3-9: Các chế độ chính, chế độ tấn cơng, chế độ nhanh của IKE