Co to jest Internet Key Exchange?
Internet Key Exchange (IKE) to zestaw protokołów pomocniczych utworzonych przez Internet Engineering Task Force (IETF) i używanych ze standardami bezpieczeństwa protokołu internetowego (IPSec) w celu zapewnienia bezpiecznej komunikacji między dwoma urządzeniami lub urządzeniami równorzędnymi przez sieć. Jako protokół IKE może być wykorzystywany w wielu aplikacjach. Jednym z powszechnych przykładów jest konfiguracja bezpiecznej wirtualnej sieci prywatnej (VPN). Choć jest standardem w praktycznie wszystkich nowoczesnych komputerowych systemach operacyjnych i sprzęcie sieciowym, większość tego, co robi Internet Key Exchange, jest niewidoczna dla przeciętnego użytkownika.
Protokoły w IKE ustanawiają tak zwane skojarzenie bezpieczeństwa (SA) między dwoma lub więcej peerami za pośrednictwem IPSec, które jest wymagane do bezpiecznej komunikacji przez IPSec. SA definiuje algorytm kryptograficzny wykorzystywany w komunikacji, klucze szyfrowania i daty ich wygaśnięcia; wszystko to następnie trafia do bazy danych skojarzeń bezpieczeństwa każdego partnera (SAD). Chociaż IPSec można skonfigurować SA ręcznie, Internet Key Exchange automatycznie negocjuje i ustanawia powiązania zabezpieczeń między równorzędnymi, w tym możliwość tworzenia własnych.
Internet Key Exchange jest znany jako protokół hybrydowy. IKE korzysta ze struktury protokołu znanej jako Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP zapewnia IKE możliwość ustanowienia SA i wykonuje zadania polegające na zdefiniowaniu formatu ładunku danych i podjęciu decyzji w sprawie protokołu wymiany kluczy, który zostanie użyty. ISAKMP jest w stanie korzystać z kilku metod wymiany kluczy, ale jego implementacja w IKE wykorzystuje aspekty dwóch. Większość procesów wymiany kluczy korzysta z metody OAKLEY Key Determination Protocol (OAKLEY), która definiuje różne tryby, ale IKE używa również metody Source Key Exchange Mechanism (SKEME), która umożliwia szyfrowanie klucza publicznego i ma możliwość odświeżaj klucze szybko.
Gdy rówieśnicy chcą się bezpiecznie komunikować, przesyłają sobie nawzajem tzw. „Interesujący ruch”. Ciekawym ruchem są wiadomości, które są zgodne z zasadami IPSec ustanowionymi na równorzędnych urządzeniach. Jednym z przykładów tej zasady w zaporach ogniowych i routerach jest lista dostępu. Lista dostępu ma politykę kryptograficzną, za pomocą której określone instrukcje w tej polityce określają, czy określone dane przesyłane przez połączenie powinny być szyfrowane, czy nie. Po tym, jak rówieśnicy zainteresowani bezpieczną komunikacją dopasują do siebie zasady bezpieczeństwa IPSec, rozpoczyna się proces wymiany kluczy internetowych.
Proces IKE odbywa się etapami. Wiele bezpiecznych połączeń rozpoczyna się w stanie niezabezpieczonym, więc w pierwszej fazie negocjuje się, w jaki sposób dwaj uczestnicy będą kontynuować proces bezpiecznej komunikacji. IKE najpierw uwierzytelnia tożsamość elementów równorzędnych, a następnie zabezpiecza ich tożsamości, określając algorytmy bezpieczeństwa, które będą używane przez oba elementy równorzędne. Korzystając z protokołu kryptografii klucza publicznego Diffie-Hellmana, który jest w stanie tworzyć pasujące klucze za pośrednictwem niechronionej sieci, Internet Key Exchange tworzy klucze sesji. IKE kończy fazę 1, tworząc bezpieczne połączenie, tunel między równorzędnymi elementami, który będzie używany w fazie 2.
Kiedy IKE wchodzi w fazę 2, rówieśnicy używają nowego IKE SA do konfigurowania protokołów IPSec, których będą używać podczas pozostałej części połączenia. Ustanowiony jest nagłówek uwierzytelnienia (AH), który zweryfikuje, czy wysłane wiadomości są nienaruszone. Pakiety również muszą być szyfrowane, więc IPSec używa następnie enkapsulującego protokołu bezpieczeństwa (ESP) do szyfrowania pakietów, chroniąc je przed wścibskimi oczami. AH jest obliczana na podstawie zawartości pakietu, a pakiet jest szyfrowany, więc pakiety są zabezpieczone przed wszystkimi, którzy próbują zastąpić pakiety fałszywymi lub czytają zawartość pakietu.
IKE wymienia również elementy kryptograficzne podczas Fazy 2. Wartość jednorazowa to liczba lub ciąg znaków, który jest używany tylko raz. Numer jednorazowy jest następnie używany przez równorzędnego użytkownika, jeśli musi utworzyć nowy tajny klucz lub uniemożliwić atakującemu wygenerowanie fałszywych skojarzeń zabezpieczeń, zapobiegając tak zwanemu atakowi powtórnemu.
Korzyści z wielofazowego podejścia do IKE polega na tym, że korzystając z SA fazy Phase 1, każdy uczestnik może zainicjować fazę 2 w dowolnym momencie w celu renegocjacji nowego SA, aby zapewnić bezpieczeństwo komunikacji. Po zakończeniu faz wymiany kluczy internetowych tworzony jest tunel IPSec w celu wymiany informacji. Pakiety wysyłane przez tunel są szyfrowane i deszyfrowane zgodnie z skojarzeniami zabezpieczeń ustanowionymi podczas fazy 2. Po zakończeniu tunel kończy się, wygasając na podstawie wcześniej określonego limitu czasu lub po przesłaniu pewnej ilości danych. Oczywiście dodatkowe negocjacje fazy 2 IKE mogą utrzymać tunel otwarty lub, alternatywnie, rozpocząć nowe negocjacje fazy 1 i fazy 2 w celu ustanowienia nowego, bezpiecznego tunelu.