Liên kết an ninh (SA) và trao đổi khóa (IKE)- 123docz.net

a .Tấn công do th́m

e. Virus, Trojan Horse, Worm, mã độc hại

2.3 Một số giải pháp bảo vệ mạng

2.3.1.4 Liên kết an ninh (SA) và trao đổi khóa (IKE)

a. Liên kết an ninh SA

Kết nối IPsec chỉ hình thành khi SA đã được thành lập. Khi thiết lập kết nối IPsec, hai bên phải xác định chính xác thuật toán được dùng, loại dịch vụ nào cần đảm bảo an ninh. Sau đó bắt đầu xử lý thương lượng để chọn một tập hợp các tham số và các giải thuật áp dụng cho mã hóa hay xác thực. Dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông an toàn được gọi là liên kết an ninh SA. Liên kết an ninh là kiểu đơn công, nghĩa là với với cặp truyền thơng A và B chẳng hạn, thì có ít nhất là hai SA (một từ A tới B và một từ B tới A).

Liên kết an ninh có hai kiểu là truyền tải và đường hầm, phụ thuộc vào chế độ truyền tải của giao thức sử dụng.

b. Hoạt động trao đổi khóa IKE

Kết nới IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPsec không có cơ chế thiết lập SA. IETF đã chọn IKE làm làm chuẩn để cấu hình SA cho IPsec. IKE chịu trách nhiệm cho thỏa thuận các liên kết an ninh.

- Bước 1: Quyết định lưu lượng nào cần được quan tâm bảo vệ tại một giao diện

yêu cầu thiết lập phiên thông tin Ipsec.

- Bước 2: Bước này chính là hoạt động IKE pha I. Thương lượng chế độ (có hai

chế độ là chế độ linh hoạt và chế độ chính) sử dụng IKE, kết quả là tạo ra liên kết an ninh IKE hay ISAKMP (Internet Security Association and Key Management).

Hình 2.10 Hoạt động IKE hai pha

Cấu trúc tiêu đề liên kết an ninh IKE hay ISAKMP (Internet Security Association and Key Management Protocol).

Hình 2.11 Định dạng ISAKMP

Ý nghĩa các trường:

- Phần đáp ứng (64 bit): một đoạn đáp trả của thực thể.

- Tải trọng tiếp theo (Next Payload: 8 bit): chỉ ra kiểu của tải tin trong bản tin. - Phiên bản chính (Major Version: 4 bit): chỉ ra phiên bản chính ISAKMP đang dùng.

- Phiên bản phụ (Minor Version: 4 bit): chỉ ra phiên bản phụ được dùng. - Kiểu trao đổi (8 bit): chỉ ra loại hình trao đổi.

- Cờ (Flags: 8 bit): chỉ ra đặc tính tùy chọn của trao đổi ISAKMP. - Số nhận dạng bản tin: số nhận dạng duy nhất cho bản tin.

- Chiều dài (32 bit): tổng chiều dài bản tin.

- Dự phòng: là trường dự phòng, để dành cho việc mở rộng. - chiều dài tải trọng : chỉ số byte trong tải trọng.

Hình 2.12 IKE pha một sử dụng chế độ chính.

- Bước 3: Đây chính là IKE pha II. Mục đích chính của pha này là để thỏa thuận

các thơng số an ninh Ipsec sử dụng cho việc bảo vệ đường hầm. Thương lượng chế độ nhanh (Quick Mode) sử dụng IKE (thỏa thuận các liên kết an ninh thông qua các tập chuyển đổi), kết quả là tạo ra hai Ipsec SA giữa hai bên. Chế độ nhanh cũng được sử dụng để thỏa thuận lại một liên kết kết an ninh mới khi liên kết an ninh cũ đã hết hạn mà các bên có thể không cần qua trở lại bước thứ 2 nữa mà vẫn đảm bảo thiết lập một SA cho phiên truyền thơng mới.

- Bước 4: Sau khi đã hồn thành IKE pha 2. Dữ liệu bắt đầu truyền qua đường

Hình 2.13 Đường hầm IPsec được thiết lập.

- Bước 5: Kết thúc đường hầm IPsec-VN ( nguyên nhân có thể là: do IPsec SA

kết thúc, hết hạn hoặc là bị xóa).

2.3.2 Điều khiển truy nhập

Liên kết an ninh (SA) và trao đổi khóa (IKE)

Khuôn dạng thỏa thuận (viết tắt) (Compact Form)

.4 Thí dụ về header From