Wat is de Internet Key Exchange?

De Internet Key Exchange (IKE) is een set ondersteuningsprotocollen die zijn gemaakt door de Internet Engineering Task Force (IETF) en worden gebruikt met Internet Protocol Security (IPSec) -standaarden om veilige communicatie tussen twee apparaten, of collega's, via een netwerk te bieden. Als protocol kan IKE worden gebruikt in een aantal softwaretoepassingen. Een bekend voorbeeld is het opzetten van een beveiligd virtueel privénetwerk (VPN). Hoewel standaard op vrijwel alle moderne computerbesturingssystemen en netwerkapparatuur, is veel van wat Internet Key Exchange doet voor de gemiddelde gebruiker verborgen.

De protocollen in IKE bepalen wat een beveiligingskoppeling (SA) wordt genoemd tussen twee of meer peers via IPSec, wat vereist is voor beveiligde communicatie via IPSec. De SA definieert het cryptografische algoritme dat wordt gebruikt in de communicatie, de coderingssleutels en hun vervaldata; dit alles gaat dan in de peer-database van de beveiliging van elke peer (SAD). Hoewel IPSec de SA handmatig kan configureren, onderhandelt de Internet Key Exchange over de beveiligingsassociaties tussen peers en stelt deze automatisch vast, inclusief de mogelijkheid om er zelf een te maken.

De Internet Key Exchange staat bekend als een hybride protocol. IKE maakt gebruik van een protocolraamwerk dat bekend staat als de Internet Security Association en Key Management Protocol (ISAKMP). ISAKMP biedt IKE de mogelijkheid om de SA op te richten en doet de taak om het formaat van de gegevensbelasting te bepalen en te beslissen welk sleuteluitwisselingsprotocol zal worden gebruikt. ISAKMP kan verschillende methoden gebruiken voor het uitwisselen van sleutels, maar de implementatie ervan in IKE maakt gebruik van aspecten van twee. Het grootste deel van het sleuteluitwisselingsproces maakt gebruik van de OAKLEY Key Determination Protocol (OAKLEY) -methode, die de verschillende modi definieert, maar IKE gebruikt ook een deel van de Source Key Exchange Mechanism (SKEME) -methode, die openbare sleutelcodering mogelijk maakt en de mogelijkheid heeft om snel toetsen vernieuwen.

Wanneer collega's veilig willen communiceren, sturen ze zogenaamd "interessant verkeer" naar elkaar. Interessant verkeer zijn berichten die zich houden aan een IPSec-beleid dat is vastgesteld op de peers. Een voorbeeld van dit beleid in firewalls en routers wordt een toegangslijst genoemd. De toegangslijst krijgt een cryptografiebeleid waarmee bepaalde verklaringen binnen het beleid bepalen of specifieke gegevens die via de verbinding worden verzonden, moeten worden gecodeerd of niet. Zodra de peers die geïnteresseerd zijn in veilige communicatie een IPSec-beveiligingsbeleid met elkaar hebben afgestemd, begint het Internet Key Exchange-proces.

Het IKE-proces verloopt in fasen. Veel beveiligde verbindingen beginnen in een onbeveiligde staat, dus de eerste fase onderhandelt over hoe de twee peers het proces van veilige communicatie zullen voortzetten. IKE verifieert eerst de identiteit van de peers en beveiligt vervolgens hun identiteit door te bepalen welke beveiligingsalgoritmen beide peers zullen gebruiken. Met behulp van het Diffie-Hellman openbare sleutel cryptografieprotocol, dat in staat is bijpassende sleutels te maken via een onbeschermd netwerk, maakt de Internet Key Exchange sessiesleutels. IKE voltooit fase 1 door een beveiligde verbinding, een tunnel, te maken tussen de peers die in fase 2 worden gebruikt.

Wanneer IKE in fase 2 komt, gebruiken de peers de nieuwe IKE SA voor het instellen van de IPSec-protocollen die ze tijdens de rest van hun verbinding zullen gebruiken. Er wordt een authenticatieheader (AH) ingesteld die controleert of verzonden berichten intact zijn ontvangen. Pakketten moeten ook worden gecodeerd, dus IPSec gebruikt vervolgens het encapsulating security protocol (ESP) om de pakketten te coderen, zodat ze niet worden beschermd tegen nieuwsgierige blikken. De AH wordt berekend op basis van de inhoud van het pakket en het pakket is gecodeerd, dus de pakketten zijn beveiligd tegen iedereen die probeert pakketten te vervangen door valse pakketten of de inhoud van een pakket leest.

IKE wisselt ook cryptografische nonces uit tijdens fase 2. Een nonce is een nummer of string die maar één keer wordt gebruikt. De nonce wordt vervolgens door een peer gebruikt als deze een nieuwe geheime sleutel moet maken of om te voorkomen dat een aanvaller nep-SA's genereert, waardoor een zogenaamde replay-aanval wordt voorkomen.

De voordelen van een meerfasige aanpak voor IKE is dat door gebruik te maken van de Phase 1 SA elke peer op elk gewenst moment een fase 2 kan initiëren om opnieuw te onderhandelen over een nieuwe SA om ervoor te zorgen dat de communicatie veilig blijft. Nadat de Internet Key Exchange zijn fasen heeft voltooid, wordt een IPSec-tunnel gemaakt voor de uitwisseling van informatie. De pakketten die via de tunnel worden verzonden, worden gecodeerd en gedecodeerd volgens de SA's die zijn vastgesteld tijdens fase 2. Als de tunnel is voltooid, wordt de tunnel beëindigd op basis van een vooraf bepaalde tijdslimiet of nadat een bepaalde hoeveelheid gegevens is overgedragen. Natuurlijk kunnen extra IKE fase 2-onderhandelingen de tunnel open houden of, als alternatief, een nieuwe fase 1- en fase 2-onderhandelingen starten om een ​​nieuwe, veilige tunnel tot stand te brengen.

ANDERE TALEN

heeft dit artikel jou geholpen? bedankt voor de feedback bedankt voor de feedback

Hoe kunnen we helpen? Hoe kunnen we helpen?

GERELATEERDE ARTIKELEN